亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定

【九月打卡】第5天 實戰wiki知識庫系統筆記5

標簽:
Java

课程名称:Spring Boot+Vue3前后端分离,实战wiki知识库系统
课程章节:9-13 前端接口增加登录校验
主讲老师:甲蛙

课程内容:

·未登录时,管理菜单要隐藏
·对路由做判断,防止用户通过手敲url访问管理页面

课程收获

了解了常见入侵系统的攻击方式以及对系统的前后台拦截方法

抵御 即跨站脚本(XSS)攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括Java、 VBScript、 Activex、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie等各种内容

通常情况下,我们登陆到某个网站。如果网站使用 Httpsession 保存登陆凭证,那么 Sessionid 会以 Cookie 的形式保存在浏果黑客在这个网页发帖的时候,填写的 Javascript 代码是用来获取 Cookie 内容的,并且把 Cookie 内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子
视图层渲染HTML就会执行注入的XSS脚本,于是你的 Cookie 信息就泄露了。黑客自己的电脑上构建出 Cookie,就可以冒充已经登陆的用户

总结:恶意脚本都是来自用户的输入。因此,可以使用过滤用户输入的方法对恶意脚本进行过滤

解决
自定义Servlet过滤器
  • 在客户端的请求访问后端资源之前,拦截这些请求。
  • 在服务器的响应发送回客户端之前,处理这些响应。

继承 HttpServletRequestWrapper 父类

创建XssFilter过滤器,拦截所有请求,然后把请求传入包装类,这样包装类就能覆盖所有请求的参数方法,用户从请求中获得数据,全都经过转义.

给SpringBoot主类添加@ServletComponentScan注解.
图片描述

點擊查看更多內容
TA 點贊

若覺得本文不錯,就分享一下吧!

評論

作者其他優質文章

正在加載中
  • 推薦
  • 評論
  • 收藏
  • 共同學習,寫下你的評論
感謝您的支持,我會繼續努力的~
掃碼打賞,你說多少就多少
贊賞金額會直接到老師賬戶
支付方式
打開微信掃一掃,即可進行掃碼打賞哦
今天注冊有機會得

100積分直接送

付費專欄免費學

大額優惠券免費領

立即參與 放棄機會
微信客服

購課補貼
聯系客服咨詢優惠詳情

幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

公眾號

掃描二維碼
關注慕課網微信公眾號

舉報

0/150
提交
取消