AI 助理
备案控制台
开发者社区 安全 文章 正文

shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击

2014-12-05 2094
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:        很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发脚本效果,所...

       很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发

脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到数据筛选的时候,可在第二重校验器实现我们的数据过滤


我就不啰嗦为何要设计的背景了,下面我就帖代码说明下自己的设计思路


1.写个总的校验器接口,利用泛型规定返回视图类型,还有校验对象的类型

package com.silvery.plugin.validator;

/**
 * 数据校验器接口
 * 
 * @author shadow
 * 
 * @param <R>
 *            视图类型
 * @param <T>
 *            校验对象
 */
public interface FormValidator<R, T> {

	public R validate(T t) throws FormValidateException;

}

2.定义一个返回视图的对象

package com.silvery.plugin.validator;

import java.util.Map;

/**
 * 数据校验结果视图
 * 
 * @author shadow
 * 
 */
public class FormValidateResult {

	private boolean success; // true=成功;false=失败
	private Map<String, Object> errorMap; // 失败对应信息

	public FormValidateResult() {
		this(false);
	}

	public FormValidateResult(boolean success) {
		this.success = success;
	}

	public boolean isSuccess() {
		return success;
	}

	public void setSuccess(boolean success) {
		this.success = success;
	}

	public Map<String, Object> getErrorMap() {
		return errorMap;
	}

	public void setErrorMap(Map<String, Object> errorMap) {
		this.errorMap = errorMap;
	}

}


3.写一个专门执行校验器的执行类


package com.silvery.plugin.validator;

import java.lang.reflect.Method;
import java.util.List;

import com.silvery.utils.ReflectUtils;

/**
 * 
 * 数据校验器执行类
 * 
 * @author shadow
 * 
 */
public class SimpleFormValidator<T> {

	/**
	 * 表单校验方法
	 * 
	 * @param t
	 *            校验数据对象
	 * @return 数据校验视图
	 * @throws FormValidateException
	 *             校验异常
	 */
	public FormValidateResult validate(T t) throws FormValidateException {
		return validate(null, t);
	}

	/**
	 * 表单校验方法
	 * 
	 * @param validator
	 *            用户自定义校验器
	 * @param t
	 *            校验数据对象
	 * @return 数据校验视图
	 * @throws FormValidateException
	 *             校验异常
	 */
	public FormValidateResult validate(FormValidator<FormValidateResult, T> validator, T t)
			throws FormValidateException {
		FormValidateResult validateResult = new FormValidateResult();
		// 优先执行用户自定义校验器,如不通过则跳出
		if (validator != null) {
			validateResult = validator.validate(t);
			if (!validateResult.isSuccess()) {
				return validateResult;
			}
		}
		return validateForXSS(t);
	}

	/** 校验是否存在XSS攻击脚本,当前只检测String类型声明字段 */
	private FormValidateResult validateForXSS(T t) {
		List<Method> methods = ReflectUtils.getMethods(t.getClass());
		for (Method method : methods) {
			if (method.getName().startsWith("set")) {
				Class<?>[] parameterClass = method.getParameterTypes();
				// 参数不能为null, 参数只有一个, 参数类型只能是String
				if (parameterClass != null && parameterClass.length == 1 && parameterClass[0].equals(String.class)) {
					// ReflectUtils.writeValueByMethod(t, method, "test");
				}
			}
		}
		return new FormValidateResult(true);
	}

}



4. 实现我们的校验器接口,自己写所需逻辑过滤


package com.silvery.project.cms.validator;

import java.util.HashMap;
import java.util.Map;

import com.silvery.plugin.validator.FormValidateException;
import com.silvery.plugin.validator.FormValidateResult;
import com.silvery.plugin.validator.FormValidator;
import com.silvery.project.cms.model.Authority;

/**
 * 权限实体数据校验器实现
 * 
 * @author shadow
 * 
 */
public class AuthorityFormValidator implements FormValidator<FormValidateResult, Authority> {

	@Override
	public FormValidateResult validate(Authority t) throws FormValidateException {
		// TODO do some validate operate
		FormValidateResult formValidateResult = new FormValidateResult();
		Map<String, Object> errorFieldMap = new HashMap<String, Object>();
		formValidateResult.setSuccess(true);
		formValidateResult.setErrorMap(errorFieldMap);
		return formValidateResult;
	}

}

4. 工作都准备得差不多的话,就开始接入到我的业务


/** 校验对象数据合法性 */
	protected ServiceResult<T> validateForm(ServiceResult<T> serviceResult, T t) throws FormValidateException {
		FormValidateResult formValidateResult = new SimpleFormValidator<T>().validate(initFormValidator(), t);
		if (formValidateResult.isSuccess()) {
			return serviceResult.setSuccess(true);
		} else {
			return formValidateResult2ViewResult(serviceResult, formValidateResult);
		}
	}


@Override
	public ServiceResult<T> insert(T model) {
		ServiceResult<T> serviceResult = createServiceResult();
		try {
			serviceResult = validateForm(serviceResult, model);
			if (!serviceResult.isSuccess()) {
				return serviceResult;
			}
			int count = getDefaultDao().insert(model);
			if (count > 0) {
				serviceResult.setSuccess(true).setMessage(
						new StringBuffer("成功保存[").append(count).append("]条记录").toString());
			} else {
				serviceResult.setMessage("没有保存到任何记录");
			}
		} catch (Exception e) {
			logErrorResult(serviceResult, e);
		}
		return serviceResult;
	}

后语, 我也没有写明确的xss,csrf过滤规则,我只是提供一个可无缝接入业务的校验器实现,可以让你动态修改里面的数据,或者是拦截数据,希望对大家有帮助

 

文章标签:
安全
关键词:
XSS攻击
XSS csrf
框架XSS
XSS教程
CSRF攻击
aielves
目录
相关文章
东方睿赢
|
1月前
|
SQL 安全 数据库
惊!Python Web安全黑洞大曝光:SQL注入、XSS、CSRF,你中招了吗?
在数字化时代,Web应用的安全性至关重要。许多Python开发者在追求功能时,常忽视SQL注入、XSS和CSRF等安全威胁。本文将深入剖析这些风险并提供最佳实践:使用参数化查询预防SQL注入;通过HTML转义阻止XSS攻击;在表单中加入CSRF令牌增强安全性。遵循这些方法,可有效提升Web应用的安全防护水平,保护用户数据与隐私。安全需持续关注与改进,每个细节都至关重要。
东方睿赢
92 5
周一同学Zelina
|
1月前
|
存储 前端开发 JavaScript
浅谈Web前端安全策略xss和csrf,及又该如何预防?
该文章详细讨论了Web前端安全中的XSS(跨站脚本攻击)和CSRF(跨站请求伪造)攻击原理及其防范措施,帮助读者了解如何保护Web应用程序免受这两种常见安全威胁的影响。
周一同学Zelina
52 0
浅谈Web前端安全策略xss和csrf,及又该如何预防?
GG2020gg
|
1月前
|
JSON 安全 JavaScript
Web安全-JQuery框架XSS漏洞浅析
Web安全-JQuery框架XSS漏洞浅析
GG2020gg
203 2
数据知道
|
1月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
数据知道
67 1
东方睿赢
|
1月前
|
SQL 安全 Go
SQL注入不可怕,XSS也不难防!Python Web安全进阶教程,让你安心做开发!
在Web开发中,安全至关重要,尤其要警惕SQL注入和XSS攻击。SQL注入通过在数据库查询中插入恶意代码来窃取或篡改数据,而XSS攻击则通过注入恶意脚本来窃取用户敏感信息。本文将带你深入了解这两种威胁,并提供Python实战技巧,包括使用参数化查询和ORM框架防御SQL注入,以及利用模板引擎自动转义和内容安全策略(CSP)防范XSS攻击。通过掌握这些方法,你将能够更加自信地应对Web安全挑战,确保应用程序的安全性。
东方睿赢
68 3
众所周知
|
1月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,却也面临着SQL注入、XSS与CSRF等安全威胁。本文将剖析这些常见攻击手段,并提供示例代码,展示如何利用参数化查询、HTML转义及CSRF令牌等技术构建坚固防线,确保Python Web应用的安全性。安全之路永无止境,唯有不断改进方能应对挑战。
众所周知
53 5
众所周知
|
1月前
|
SQL 安全 数据安全/隐私保护
Python Web安全大挑战:面对SQL注入、XSS、CSRF,你准备好了吗?
在构建Python Web应用时,安全性至关重要。本文通过三个真实案例,探讨了如何防范SQL注入、XSS和CSRF攻击。首先,通过参数化查询替代字符串拼接,防止SQL注入;其次,利用HTML转义机制,避免XSS攻击;最后,采用CSRF令牌验证,保护用户免受CSRF攻击。这些策略能显著增强应用的安全性,帮助开发者应对复杂的网络威胁。安全是一个持续的过程,需不断学习新知识以抵御不断变化的威胁。
众所周知
80 1
东方睿赢
|
1月前
|
SQL 安全 数据库
Python Web开发者必看!SQL注入、XSS、CSRF全面解析,守护你的网站安全!
在Python Web开发中,构建安全应用至关重要。本文通过问答形式,详细解析了三种常见Web安全威胁——SQL注入、XSS和CSRF,并提供了实用的防御策略及示例代码。针对SQL注入,建议使用参数化查询;对于XSS,需对输出进行HTML编码;而防范CSRF,则应利用CSRF令牌。通过这些措施,帮助开发者有效提升应用安全性,确保网站稳定运行。
东方睿赢
36 1
派大鑫的工作室
|
18天前
|
存储 JavaScript 安全
XSS攻击详解
XSS攻击详解
派大鑫的工作室
45 0
派大鑫的工作室
|
18天前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
派大鑫的工作室
46 0