1、Cookie的安全防范:
- 存储于cookie中的敏感数据必须加密。
- 没有特殊要求下,尽量使用会话cookie(非持久化)。
- 如果使用持久化cookie应该设置cookie超时。
- 激活cookie安全传输,表示创建的 cookie 只能在https连接中被浏览器传递到服务器端进行会话验证,如果是http连接则不会传递该信息。
Cookie[] cookies = request.getCookies();
for(Cookie cookie : cookies) {
if (…) {
// 设置cookie不持久化到客户端磁盘上
cookie.setMaxAge(-1);
// 设置cookie超时, 120秒
cookie.setMaxAge(120);
// 激活cookie安全传输
cookie.setSecure(true);
response.addCookie(cookie);
}
}
2、必须设置session的超时时间。
web.xml中配置示例:
<session-config>
<session-timeout>10</session-timeout>
</session-config>
3、必须构建统一的错误处理页面。
web.xml示例:
<error-page>
<error-code>500</error-code>
<location>/error.jsp</location>
</error-page>
4、多线程中线程安全的防范:
- 尽量少用静态(static)变量和static方法。(除了静态常量:static final constants)。
- 尽量多线程框架(java.util.concurrent)构建多线程同步机制。
- 使用ThreadLocal避免多个线程之间类成员的共享冲突。
- 如非必要,不要使用synchronized关键字。必须要使用synchronized时,应将同步范围最小化,即将同步作用到最需要的地方,避免大块的同步块或方法等。
5、增加Referer的检查,防止非法访问。
Referer是HTTP Header中的一个字段,当浏览器想服务器发送请求时,Referer用来通知服务器请求发起的位置。