目前的安全,只是对用户密码加密,前台jquery验证。
如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。
用户查看页面源代码就可以查看到了。
有没好的解决方案呢?还有其他哪些要注意的地方呢?
Struts2 hibernate3 spring 3.0
sql server 2000 sp4
如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。
用户查看页面源代码就可以查看到了。
有没好的解决方案呢?还有其他哪些要注意的地方呢?
Struts2 hibernate3 spring 3.0
sql server 2000 sp4
解决方案 »
- 关于Struts2项目运行出错的问题。
- spring security + cas 问题
- struts2下载文件,文件名出现乱码问题!
- Spring的Aop--> Cannot create AopProxy with no advisors and no target source
- 探讨一下:jstl标签与 struts标签哪个好???
- 请问hibernate如何实现有'||'的查询
- dom4j怎么创建一个Element
- 请高手指点jndi的lookup问题??急!!!!
- WebLogic Application Server处于中间层,是不是作为一个服务在一台中心服务器里不停运行,然后处理客户端的请求。?
- 关于package包的问题,请高手指教
- url==/WebFriend/userimg/1307029058093.jpgjava.lang.IllegalArgumentExcept
- hibernate3.6查询数据时出错
2:避免 XSS 注入(页面回显的 input text, input hidden 均过滤 <、>、"、' 等字符等)
3:使用随机键盘或者安全控件防止键盘木马记录用户的输入
4:若要在 Cookie 中写入数据,尽量使用 Cookie 的 HttpOnly 属性
5:响应中设置一些诸如 X-Frame-Options、X-XSS-Protection 等高版本浏览器支持的 HTTP 头
6: 不管客户端是否做过数据校验,在服务端必须要有数据校验(长度、格式、是否必填等等)
7: SQL 语句采用 PreparedStatement 的填充参数方式,严禁使用字符串拼接 SQL 或者 HQL 语句
md5加密了然后直接替换原来的密码框内容就行 然后再用js提交表单 这样就不存在你说的要放在隐藏域什么的
(1)前台验证,不允许有: < > =
(2)后台同样验证
(3) 使用PreparedStatement
后台也需要struts2 验证码?
怎么不允许有: < > =