web安全框架,主要用servlet filter方式覆盖httpServletRequest和HttpServletResponse方式增加一些输入输出的过滤,github地址:https://github.com/zhwj184/webSecurity
主要实现的安全包括:
-
XSS过滤(获取用户输入参数和参数值进行XSS过滤,对Header和cookie value值进行XSS过滤(转码Script标签的< > 符号),
-
对Response的setStatus(int sc, String sm)方法 sm错误信息进行XSS过滤;
-
对Header的CLRF进行过滤;
-
对cookie大小和cookie的白名单进行验证;
-
对文件上传后缀白名单进行验证;
-
对只允许POST提交的url进行验证;
-
CSRF攻击 tokenID防御支持;
-
SESSION通过加密存储到cookie支持;