加密
安全
SQL注入、OS命令注入、XML注入
跨站脚本XSS:存储型XSS,反射性XSS
SQL 注入
1.
2. Mybatis:$是按照字符进行拼接的,#是进行预编译的
3. OWASP ESAPI实现转义
OS注入
1. 对外部输入进行校验:正则表达式、黑名单
2. 访问路径权限的验证
XML注入
1. XML不要包含外部实体
2. 访问路径权限的验证
敏感信息
1. 异常带入敏感信息,对非信任域只给出提示信息
2. 序列化的篡改,不序列化敏感数据,加密
IO操作
1. 临时创建及时删除
平台安全
1. 传递原始对象给不可信任域
2. ByteCode Verifier、ClassLoader、SecurityManager