Web安全与拦截器
一、处理信息安全问题:
CSRF跨站请求伪造:伪装来自受信用户的请求来利用受信网站
- 特性:利用网站对用户标识的信任,依靠用户标识危害网站
- 做法:欺骗用户的浏览器发送HTTP请求给目标站点
- 实现:可以通过IMG标签触发GET请求,利用它来实现CSRF攻击
- 防范(可使用拦截器实现):
- 增加隐藏token,提交请求时验证token(Cookie中不存在)
- 项目中使用的:验证HTTP请求的Referer字段是否为正常的字段
CSS跨站脚本:利用站点内的可信用户
- 做法:输入js脚本,点击页面时会执行
- 防范:
- form表单添加
<spring:htmlEscape defaultHtmlEscape="true" />
- 手动escape
- 后台加过滤器
- form表单添加
二、上下文信息获取
- 对所有URL添加统一拦截器,获取ControllerContext
- ControllerContext上下文中包含一系列信息,包括从登陆Ticket获取的信息