为了账号安全,请及时绑定邮箱和手机立即绑定

【九月打卡】第5天 实战wiki知识库系统笔记5

标签:
Java

课程名称:Spring Boot+Vue3前后端分离,实战wiki知识库系统
课程章节:9-13 前端接口增加登录校验
主讲老师:甲蛙

课程内容:

·未登录时,管理菜单要隐藏
·对路由做判断,防止用户通过手敲url访问管理页面

课程收获

了解了常见入侵系统的攻击方式以及对系统的前后台拦截方法

抵御 即跨站脚本(XSS)攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括Java、 VBScript、 Activex、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie等各种内容

通常情况下,我们登陆到某个网站。如果网站使用 Httpsession 保存登陆凭证,那么 Sessionid 会以 Cookie 的形式保存在浏果黑客在这个网页发帖的时候,填写的 Javascript 代码是用来获取 Cookie 内容的,并且把 Cookie 内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子
视图层渲染HTML就会执行注入的XSS脚本,于是你的 Cookie 信息就泄露了。黑客自己的电脑上构建出 Cookie,就可以冒充已经登陆的用户

总结:恶意脚本都是来自用户的输入。因此,可以使用过滤用户输入的方法对恶意脚本进行过滤

解决
自定义Servlet过滤器
  • 在客户端的请求访问后端资源之前,拦截这些请求。
  • 在服务器的响应发送回客户端之前,处理这些响应。

继承 HttpServletRequestWrapper 父类

创建XssFilter过滤器,拦截所有请求,然后把请求传入包装类,这样包装类就能覆盖所有请求的参数方法,用户从请求中获得数据,全都经过转义.

给SpringBoot主类添加@ServletComponentScan注解.
图片描述

点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消