spring mvc 安全
2024-10-14 09:43:18
1,使用 spring form 标签
防 csrf 攻击
2,标明请求方法:RequestMethod.GET,RequestMethod.POST, PATCH, POST, PUT, and DELETE
如果不标明,默认以上所有请求类型都会接受处理(面太广),给黑客留下伪造请求的隐患。
3,防 XSS
1)web.xml中添加
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
2)在包含form的jsp页面中添加
<spring:htmlEscape defaultHtmlEscape="true" />
3)直接在form中的元素中添加
<form:input path="someFormField" htmlEscape="true" /> 或 <form:form htmlEscape="true">
4)JSTL输出
<c:out value="${formulario}" escapeXml="true" />默认escapeXml就为true
或
${fn:escapeXml(param.nextUrl)}
最新文章
- 安装tomcat
- pyqt4:连接的一个带有参数的方法
- 面向 Java 开发人员的 Ajax: 构建动态的 Java 应用程序
- PHP核心代码库中的APC缓存说明123
- 【笔试】T实习生2014 总结
- PHP面向对象的基本写法(区别于java)
- C语言结构体的内存对齐问题
- Oracle误删表空间文件后数据库无法启动
- iOS项目中常见的文件
- Ansible 入门指南 - 安装及 Ad-Hoc 命令使用
- Linux 互斥锁
- Css3新属性:calc()
- 【转】Map 与 Unordered_map
- Linux命令之pwd
- Linux中使用GoAccess进行日志实时监控
- c#常用的预处理器指令
- C#进阶系列——WebApi 异常处理解决方案(转)
- [Mysql 查询语句]——集合函数
- Web后门工具WeBaCoo
- HDU4625:Strongly connected(思维+强连通分量)
热门文章
- [iOS]数据库第三方框架FMDB详细讲解
- [Oracle]Sqlplus连接成功,但pl/sql连接不成功,提示“ora-12145:无法解析指定的连接标识符”
- HDU2111 Saving HDU 【贪心】
- intel线程库tbb的使用
- CoreText中坐标转换的一些理解
- java开发之基础篇2
- Sass函数--颜色函数--Opacity函数
- OWIN初探(转)
- 由MyEclipse内存不足谈谈JVM内存设置
- Link all references for a local rename (does not change references in other files)