6

次のようなメソッドを使用してSpringにコントローラーがあります

@RequestMapping(value = "/v1/something", method = RequestMethod.POST, headers = "content-type=application/xml")
@Valid
public void something(@RequestBody final SomeBody myDto  . . . . .

SQL インジェクションや XSS 攻撃などを回避するために、リクエスト ボディに SQL または Javascript 文字が含まれていないことを確認したいと考えています。

JAXB はすでにそのシナリオを処理していますか? フィルタを書くことを考えていたのですが、リクエストボディを一度しか読めませんか?

助言がありますか?

4

3 に答える 3

3

Filtersフォームのクリーニングに使用できます。すべてのリクエスト属性を取得し、それらをすべて消去します。別のオプションは、JSoupAPI を使用することです。詳細については、次のリンクにアクセスしてください。

JSoup XSS API の

XSS の脅威を防ぐフィルター アプローチ

編集 :

OWASP シートを読んで、XSS と SQL インジェクションを回避する方法を理解してください。

OWASP - XSS の防止

OWASP - SQL インジェクションの防止

Spring 3.1 と統合されたHDIVを見てください。XSS 、CSRF、データ整合性チェックをすぐにサポートできます。

于 2013-05-09T05:09:47.233 に答える