Spring MVC 如何防止XSS、SQL注入攻击

如题所述

在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原在显示的时候对非法字符进行转义如果项目还处在起步阶段，建议使用第二种，直接使用jstl的<c:out>标签即可解决非法字符的问题。当然，对于Javascript还需要自己处理一下，写一个方法，在解析从服务器端获取的数据时执行以下escapeHTML()即可。附：Javascript方法：String.prototype.escapeHTML = function () {return this.replace(/&/g, ‘&’).replace(/>/g, ‘>’).replace(/</g, ‘<’).replace(/”/g, ‘"’);}如果项目已经开发完成了，又不想大批量改动页面的话，可以采用第一种方法，此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtilspublic class StringEscapeEditor extends PropertyEditorSupport {private boolean escapeHTML;private boolean escapeJavaScript;private boolean escapeSQL;public StringEscapeEditor() { super(); }public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {super();this.escapeHTML = escapeHTML;this.escapeJavaScript = escapeJavaScript;this.escapeSQL = escapeSQL;}@Overridepublic void setAsText(String text) {if (text == null) {setValue(null);} else {String value = text;if (escapeHTML) { value = StringEscapeUtils.escapeHtml(value); }if (escapeJavaScript) { value = StringEscapeUtils.escapeJavaScript(value); }if (escapeSQL) { value = StringEscapeUtils.escapeSql(value); } setValue(value); }}@Overridepublic String getAsText() { Object value = getValue(); return value != null ? value.toString() : “”; }}在上面我们做了一个EscapeEditor，下面还要将这个Editor和Spring的Controller绑定，使服务器端接收到数据之后能够自动转移特殊字符。下面我们在@Controller中注册@InitBinder@InitBinderpublic void initBinder(WebDataBinder binder) {这个方法可以直接放到abstract Controller类中，这样子每个Controller实例都能够拥有该方法。至此第二种方法完成，但是在还原的方法暂时还没有。

温馨提示：内容为网友见解，仅供参考

当前网址：https://11.t2y.org/zz/vqpmf24fp.html