AI 助理
备案控制台
开发者社区 安全 文章 正文

shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击

2014-12-05 2132
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:        很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发脚本效果,所...

       很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发

脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到数据筛选的时候,可在第二重校验器实现我们的数据过滤


我就不啰嗦为何要设计的背景了,下面我就帖代码说明下自己的设计思路


1.写个总的校验器接口,利用泛型规定返回视图类型,还有校验对象的类型

package com.silvery.plugin.validator;

/**
 * 数据校验器接口
 * 
 * @author shadow
 * 
 * @param <R>
 *            视图类型
 * @param <T>
 *            校验对象
 */
public interface FormValidator<R, T> {

	public R validate(T t) throws FormValidateException;

}

2.定义一个返回视图的对象

package com.silvery.plugin.validator;

import java.util.Map;

/**
 * 数据校验结果视图
 * 
 * @author shadow
 * 
 */
public class FormValidateResult {

	private boolean success; // true=成功;false=失败
	private Map<String, Object> errorMap; // 失败对应信息

	public FormValidateResult() {
		this(false);
	}

	public FormValidateResult(boolean success) {
		this.success = success;
	}

	public boolean isSuccess() {
		return success;
	}

	public void setSuccess(boolean success) {
		this.success = success;
	}

	public Map<String, Object> getErrorMap() {
		return errorMap;
	}

	public void setErrorMap(Map<String, Object> errorMap) {
		this.errorMap = errorMap;
	}

}


3.写一个专门执行校验器的执行类


package com.silvery.plugin.validator;

import java.lang.reflect.Method;
import java.util.List;

import com.silvery.utils.ReflectUtils;

/**
 * 
 * 数据校验器执行类
 * 
 * @author shadow
 * 
 */
public class SimpleFormValidator<T> {

	/**
	 * 表单校验方法
	 * 
	 * @param t
	 *            校验数据对象
	 * @return 数据校验视图
	 * @throws FormValidateException
	 *             校验异常
	 */
	public FormValidateResult validate(T t) throws FormValidateException {
		return validate(null, t);
	}

	/**
	 * 表单校验方法
	 * 
	 * @param validator
	 *            用户自定义校验器
	 * @param t
	 *            校验数据对象
	 * @return 数据校验视图
	 * @throws FormValidateException
	 *             校验异常
	 */
	public FormValidateResult validate(FormValidator<FormValidateResult, T> validator, T t)
			throws FormValidateException {
		FormValidateResult validateResult = new FormValidateResult();
		// 优先执行用户自定义校验器,如不通过则跳出
		if (validator != null) {
			validateResult = validator.validate(t);
			if (!validateResult.isSuccess()) {
				return validateResult;
			}
		}
		return validateForXSS(t);
	}

	/** 校验是否存在XSS攻击脚本,当前只检测String类型声明字段 */
	private FormValidateResult validateForXSS(T t) {
		List<Method> methods = ReflectUtils.getMethods(t.getClass());
		for (Method method : methods) {
			if (method.getName().startsWith("set")) {
				Class<?>[] parameterClass = method.getParameterTypes();
				// 参数不能为null, 参数只有一个, 参数类型只能是String
				if (parameterClass != null && parameterClass.length == 1 && parameterClass[0].equals(String.class)) {
					// ReflectUtils.writeValueByMethod(t, method, "test");
				}
			}
		}
		return new FormValidateResult(true);
	}

}



4. 实现我们的校验器接口,自己写所需逻辑过滤


package com.silvery.project.cms.validator;

import java.util.HashMap;
import java.util.Map;

import com.silvery.plugin.validator.FormValidateException;
import com.silvery.plugin.validator.FormValidateResult;
import com.silvery.plugin.validator.FormValidator;
import com.silvery.project.cms.model.Authority;

/**
 * 权限实体数据校验器实现
 * 
 * @author shadow
 * 
 */
public class AuthorityFormValidator implements FormValidator<FormValidateResult, Authority> {

	@Override
	public FormValidateResult validate(Authority t) throws FormValidateException {
		// TODO do some validate operate
		FormValidateResult formValidateResult = new FormValidateResult();
		Map<String, Object> errorFieldMap = new HashMap<String, Object>();
		formValidateResult.setSuccess(true);
		formValidateResult.setErrorMap(errorFieldMap);
		return formValidateResult;
	}

}

4. 工作都准备得差不多的话,就开始接入到我的业务


/** 校验对象数据合法性 */
	protected ServiceResult<T> validateForm(ServiceResult<T> serviceResult, T t) throws FormValidateException {
		FormValidateResult formValidateResult = new SimpleFormValidator<T>().validate(initFormValidator(), t);
		if (formValidateResult.isSuccess()) {
			return serviceResult.setSuccess(true);
		} else {
			return formValidateResult2ViewResult(serviceResult, formValidateResult);
		}
	}


@Override
	public ServiceResult<T> insert(T model) {
		ServiceResult<T> serviceResult = createServiceResult();
		try {
			serviceResult = validateForm(serviceResult, model);
			if (!serviceResult.isSuccess()) {
				return serviceResult;
			}
			int count = getDefaultDao().insert(model);
			if (count > 0) {
				serviceResult.setSuccess(true).setMessage(
						new StringBuffer("成功保存[").append(count).append("]条记录").toString());
			} else {
				serviceResult.setMessage("没有保存到任何记录");
			}
		} catch (Exception e) {
			logErrorResult(serviceResult, e);
		}
		return serviceResult;
	}

后语, 我也没有写明确的xss,csrf过滤规则,我只是提供一个可无缝接入业务的校验器实现,可以让你动态修改里面的数据,或者是拦截数据,希望对大家有帮助

 

文章标签:
安全
关键词:
安全XSS
CSRF攻击
XSS csrf
XSS攻击
XSS csrf攻击
aielves
目录
相关文章
大树营养快线
|
3月前
|
存储 安全 JavaScript
xss、csrf
【10月更文挑战第26天】防范 XSS 和 CSRF 攻击需要综合运用多种技术手段,从输入输出过滤、设置安全的 Cookie 属性、验证请求来源、添加令牌等多个方面入手,构建一个全面的安全防护体系,以确保网站和用户的安全。
大树营养快线
73 4
那年春天
|
3月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
那年春天
130 49
jianz123
|
3月前
|
SQL 安全 前端开发
让你彻底了解SQL注入、XSS和CSRF
了解SQL注入、XSS和CSRF
jianz123
69 7
土木林森
|
3月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
土木林森
133 4
土木林森
|
3月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
土木林森
113 2
蓝易云
|
3月前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
蓝易云
65 0
愿天堂没有BUG(公众号同名)
|
7月前
|
存储 安全 JavaScript
手摸手带你进行XSS攻击与防御
当谈到网络安全和信息安全时,跨站脚本攻击(XSS)是一个不可忽视的威胁。现在大家使用邮箱进行用户认证比较多,如果黑客利用XSS攻陷了用户的邮箱,拿到了cookie那么就可以冒充你进行收发邮件,那真就太可怕了,通过邮箱验证进行其他各种网站的登录与高危操作。 那么今天,本文将带大家深入了解XSS攻击与对应的防御措施。
愿天堂没有BUG(公众号同名)
228 2
土木林森
|
3月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
土木林森
147 3
数据知道
|
5月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
数据知道
871 1
派大鑫的工作室
|
4月前
|
存储 JavaScript 安全
XSS攻击详解
XSS攻击详解
派大鑫的工作室
131 0