1,使用 spring form 标签

防 csrf 攻击

2,标明请求方法:RequestMethod.GET,RequestMethod.POST, PATCH, POST, PUT, and DELETE

如果不标明,默认以上所有请求类型都会接受处理(面太广),给黑客留下伪造请求的隐患。

3,防 XSS

1)web.xml中添加

 <context-param>

        <param-name>defaultHtmlEscape</param-name>

        <param-value>true</param-value>

    </context-param>

2)在包含form的jsp页面中添加

<spring:htmlEscape defaultHtmlEscape="true" />

3)直接在form中的元素中添加

<form:input path="someFormField" htmlEscape="true" />

或

<form:form htmlEscape="true">

4)JSTL输出

<c:out value="${formulario}" escapeXml="true" />默认escapeXml就为true


${fn:escapeXml(param.nextUrl)}

最新文章

  1. 安装tomcat
  2. pyqt4:连接的一个带有参数的方法
  3. 面向 Java 开发人员的 Ajax: 构建动态的 Java 应用程序
  4. PHP核心代码库中的APC缓存说明123
  5. 【笔试】T实习生2014 总结
  6. PHP面向对象的基本写法(区别于java)
  7. C语言结构体的内存对齐问题
  8. Oracle误删表空间文件后数据库无法启动
  9. iOS项目中常见的文件
  10. Ansible 入门指南 - 安装及 Ad-Hoc 命令使用
  11. Linux 互斥锁
  12. Css3新属性:calc()
  13. 【转】Map 与 Unordered_map
  14. Linux命令之pwd
  15. Linux中使用GoAccess进行日志实时监控
  16. c#常用的预处理器指令
  17. C#进阶系列——WebApi 异常处理解决方案(转)
  18. [Mysql 查询语句]——集合函数
  19. Web后门工具WeBaCoo
  20. HDU4625:Strongly connected(思维+强连通分量)

热门文章

  1. [iOS]数据库第三方框架FMDB详细讲解
  2. [Oracle]Sqlplus连接成功,但pl/sql连接不成功,提示“ora-12145:无法解析指定的连接标识符”
  3. HDU2111 Saving HDU 【贪心】
  4. intel线程库tbb的使用
  5. CoreText中坐标转换的一些理解
  6. java开发之基础篇2
  7. Sass函数--颜色函数--Opacity函数
  8. OWIN初探(转)
  9. 由MyEclipse内存不足谈谈JVM内存设置
  10. Link all references for a local rename (does not change references in other files)