百度360必应搜狗淘宝本站头条
0xalinux查看python版本信息python怎么改成中文python安装opencv库1到10的阶乘之和是多少
当前位置:网站首页 > 技术文章 > 正文

Java接口安全:SpringBoot防护XSS/SQL/重放攻击

itomcoil 2025-10-02 01:00 11 浏览

Java接口安全:SpringBoot防护XSS/SQL/重放攻击

在Spring Boot中防护XSS、SQL注入和重放攻击是保障应用安全的关键环节。以下是针对这三类攻击的防护策略及具体Java代码实现:

1. XSS攻击防护

攻击原理:恶意脚本注入到网页,在用户浏览器执行
防护方案:输入过滤 + 输出转义

代码实现:

java

// 方案1:全局XSS过滤器 (基于Servlet Filter)
@Component
public class XssFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) 
        throws IOException, ServletException {
        
        HttpServletRequest request = (HttpServletRequest) req;
        // 使用包装器对请求参数进行清洗
        chain.doFilter(new XssRequestWrapper(request), res);
    }
}

// XSS请求包装器
public class XssRequestWrapper extends HttpServletRequestWrapper {
    private static final HtmlSanitizer SANITIZER = new HtmlSanitizer(); // 自定义消毒器

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        return sanitize(value); // 参数消毒
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) return null;
        return Arrays.stream(values).map(this::sanitize).toArray(String[]::new);
    }

    private String sanitize(String input) {
        // 使用JSoup或自定义规则过滤HTML标签
        return SANITIZER.sanitize(input); 
    }
}

// 简单HTML消毒器实现
public class HtmlSanitizer {
    public String sanitize(String input) {
        if (input == null) return null;
        // 使用JSoup白名单过滤
        Whitelist whitelist = Whitelist.basicWithImages();
        return Jsoup.clean(input, whitelist);
    }
}

增强措施:

  • 响应头防护:强制浏览器启用XSS防护

java

@Configuration
public class SecurityConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .addHeaderWriter((request, response) -> {
                    response.setHeader("X-XSS-Protection", "1; mode=block");
                    response.setHeader("Content-Security-Policy", "default-src 'self'");
                });
    }
}

2. SQL注入防护

攻击原理:通过拼接恶意SQL破坏数据库操作
防护方案:参数化查询 + ORM框架

代码实现:

java

// 方案1:使用JPA/Hibernate (自动参数化)
@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    // 安全:自动使用预编译语句
    @Query("SELECT u FROM User u WHERE u.username = :username")
    User findByUsername(@Param("username") String username);
}

// 方案2:JdbcTemplate参数化查询
@Repository
public class UserDao {
    private final JdbcTemplate jdbcTemplate;

    public User findUser(String username) {
        String sql = "SELECT * FROM users WHERE username = ?"; // 使用?占位符
        return jdbcTemplate.queryForObject(sql, new Object[]{username}, userMapper);
    }
}

禁止做法(高危!):

java

// 错误示例:直接拼接SQL
String sql = "SELECT * FROM users WHERE username='" + username + "'";
jdbcTemplate.execute(sql); // 存在SQL注入漏洞

3. 重放攻击防护

攻击原理:恶意重复发送合法请求
防护方案:Nonce + 时间戳 + 签名

代码实现:

java

// 重放攻击拦截器
@Component
public class ReplayAttackInterceptor implements HandlerInterceptor {
    
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    
    private static final long MAX_TIME_DIFF = 5 * 60 * 1000; // 5分钟有效期

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String nonce = request.getHeader("X-Nonce");
        String timestamp = request.getHeader("X-Timestamp");
        String signature = request.getHeader("X-Signature");

        // 1. 检查必要头是否存在
        if (StringUtils.isEmpty(nonce) || ... ) {
            throw new SecurityException("Missing security headers");
        }

        // 2. 验证时间戳有效性
        long currentTime = System.currentTimeMillis();
        if (Math.abs(currentTime - Long.parseLong(timestamp)) > MAX_TIME_DIFF) {
            throw new SecurityException("Timestamp expired");
        }

        // 3. 检查Nonce唯一性
        if (redisTemplate.hasKey(nonce)) {
            throw new SecurityException("Duplicate request detected");
        } else {
            redisTemplate.opsForValue().set(nonce, "used", MAX_TIME_DIFF, TimeUnit.MILLISECONDS);
        }

        // 4. 验证请求签名(示例)
        String serverSign = calculateSignature(request, nonce, timestamp);
        if (!serverSign.equals(signature)) {
            throw new SecurityException("Invalid signature");
        }
        
        return true;
    }
    
    private String calculateSignature(HttpServletRequest request, String nonce, String timestamp) {
        String data = request.getMethod() + request.getRequestURI() + nonce + timestamp;
        return DigestUtils.sha256Hex(data + SECRET_KEY); // 使用密钥生成签名
    }
}

客户端配合:

javascript

// 前端发送请求时需生成安全头
fetch("/api/payment", {
  headers: {
    "X-Nonce": generateUUID(), // 唯一随机数
    "X-Timestamp": Date.now(),
    "X-Signature": sha256(method + url + nonce + timestamp + secretKey)
  }
})

防护体系增强建议

  1. 深度防御
  2. 结合Spring Security进行权限控制
  3. 使用@Validated进行输入验证
  4. 启用HTTPS防止中间人攻击
  5. 日志监控

java

@Aspect
@Component
public class SecurityLogger {
    @AfterThrowing(pointcut = "execution(* com.example..*.*(..))", throwing = "ex")
    public void logSecurityException(SecurityException ex) {
        log.error("Security alert: {}", ex.getMessage());
        // 发送告警通知
    }
}
  1. 定期更新
  2. 保持Spring Boot和依赖库最新版本
  3. 使用OWASP Dependency-Check检查漏洞

关键原则:所有外部输入皆不可信!必须经过验证/过滤/转义处理。三种攻击组合防护可覆盖Web应用80%的安全风险,但需根据业务场景持续调整策略。

相关推荐

Python编程实现求解高次方程_python求次幂
Python编程实现求解高次方程_python求次幂

#头条创作挑战赛#编程求解一元多次方程,一般情况下对于高次方程我们只求出近似解,较少的情况可以得到精确解。这里给出两种经典的方法,一种是牛顿迭代法,它是求解方程根的有效方法,通过若干次迭代(重复执行部分代码,每次使变量的当前值被计算出的新值...

2025-10-23 03:58 itomcoil

python常用得内置函数解析——sorted()函数

接下来我们详细解析Python中非常重要的内置函数sorted()1.函数定义sorted()函数用于对任何可迭代对象进行排序,并返回一个新的排序后的列表。语法:sorted(iterabl...

Python入门学习教程:第 6 章 列表

6.1什么是列表?在Python中,列表(List)是一种用于存储多个元素的有序集合,它是最常用的数据结构之一。列表中的元素可以是不同的数据类型,如整数、字符串、浮点数,甚至可以是另一个列表。列...

Python之函数进阶-函数加强(上)_python怎么用函数

一.递归函数递归是一种编程技术,其中函数调用自身以解决问题。递归函数需要有一个或多个终止条件,以防止无限递归。递归可以用于解决许多问题,例如排序、搜索、解析语法等。递归的优点是代码简洁、易于理解,并...

Python内置函数range_python内置函数int的作用

range类型表示不可变的数字序列,通常用于在for循环中循环指定的次数。range(stop)range(start,stop[,step])range构造器的参数必须为整数(可以是内...

python常用得内置函数解析——abs()函数

大家号这两天主要是几个常用得内置函数详解详细解析一下Python中非常常用的内置函数abs()。1.函数定义abs(x)是Python的一个内置函数,用于返回一个数的绝对值。参数:x...

如何在Python中获取数字的绝对值?

Python有两种获取数字绝对值的方法:内置abs()函数返回绝对值。math.fabs()函数还返回浮点绝对值。abs()函数获取绝对值内置abs()函数返回绝对值,要使用该函数,只需直接调用:a...

贪心算法变种及Python模板_贪心算法几个经典例子python

贪心算法是一种在每一步选择中都采取当前状态下最优的选择,从而希望导致结果是全局最优的算法策略。以下是贪心算法的主要变种、对应的模板和解决的问题特点。1.区间调度问题问题特点需要从一组区间中选择最大数...

Python倒车请注意!负步长range的10个高能用法,让代码效率翻倍

你是否曾遇到过需要倒着处理数据的情况?面对时间序列、日志文件或者矩阵操作,传统的遍历方式往往捉襟见肘。今天我们就来揭秘Python中那个被低估的功能——range的负步长操作,让你的代码优雅反转!一、...

Python中while循环详解_python怎么while循环

Python中的`while`循环是一种基于条件判断的重复执行结构,适用于不确定循环次数但明确终止条件的场景。以下是详细解析:---###一、基本语法```pythonwhile条件表达式:循环体...

简单的python-核心篇-面向对象编程

在Python中,类本身也是对象,这被称为"元类"。这种设计让Python的面向对象编程具有极大的灵活性。classMyClass:"""一个简单的...

简单的python-python3中的不变的元组

golang中没有内置的元组类型,但是多值返回的处理结果模拟了元组的味道。因此,在golang中"元组”只是一个将多个值(可能是同类型的,也可能是不同类型的)绑定在一起的一种便利方法,通常,也...

python中必须掌握的20个核心函数——sorted()函数

sorted()是Python的内置函数,用于对可迭代对象进行排序,返回一个新的排序后的列表,不修改原始对象。一、sorted()的基本用法1.1方法签名sorted(iterable,*,ke...

12 个 Python 高级技巧,让你的代码瞬间清晰、高效

在日常的编程工作中,我们常常追求代码的精简、优雅和高效。你可能已经熟练掌握了列表推导式(listcomprehensions)、f-string和枚举(enumerate)等常用技巧,但有时仍会觉...

Python的10个进阶技巧:写出更快、更省内存、更优雅的代码

在Python的世界里,我们总是在追求效率和可读性的完美平衡。你不需要一个数百行的新框架来让你的代码变得优雅而快速。事实上,真正能带来巨大提升的,往往是那些看似微小、却拥有高杠杆作用的技巧。这些技巧能...

一周热门
最近发表
标签列表