一、URL中参数显示问题,解决方案:
1、普通Get请求修改为Post请求
2、参数加密(js加密,Java解密)
二、Mybatis模糊查询中,sql拼接问题,解决方案方案:
1、使用安全的符号和方法,xml中拼接示例:
1
2
3
4
5
6
7
8
9
|
< if test= "stateList != null" >
state in
<foreach close= ")" collection= "stateList" index= "index" item= "sta" open= "(" separator= "," >
#{stateList[${index}]}
</foreach>
</ if >
< if test= "title != null and title != ''" >
and title like concat( '%' ,#{title}, '%' )
</ if >
|
2、Java中转义特殊字符,Java中字符处理示例:
1
2
3
4
5
6
|
param = param.replace( "%" , "\\%" );
param = param.replace( "_" , "\\_" );
param = param.replace( "," , "\\," );
param = param.replace( "'" , "\\'" );
param = param.replace( "/" , "//" );
param = param.replace( "\\" , <a>\\\\</a>);
|
三、文件上传安全问题
解决方案:判断文件名、请求ContentType和文件头内容。
文件头内容判断:
常见文件类型识别
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
常用文件的头信息:
JPEG (jpg),文件头:FFD8FFE1
PNG (png),文件头:89504E47
GIF (gif),文件头: 47494638
TIFF (tif),文件头:49492A00
Windows Bitmap (bmp),文件头:424D
CAD (dwg),文件头: 41433130
Adobe Photoshop (psd),文件头: 38425053
Rich Text Format (rtf),文件头:7B5C727466
XML (xml),文件头:3C3F786D6C
HTML (html),文件头:68746D6C3E
Email [thorough only] (eml),文件头:44656C69766572792D646174653A
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:2142444E
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Postscript (eps.or.ps),文件头:252150532D41646F6265
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头: 52617221
Wave (wav),文件头: 57415645
AVI (avi),文件头: 41564920
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D546864
|
java附件上传时后台验证上传文件的合法性
1
|
public static Map<string, string= "" > mFileTypes = new HashMap<string, string= "" >();<br> static {<br> // imagesFFD8FFE1<br> mFileTypes.put("FFD8FFE1", ".jpg");<br> mFileTypes.put("FFD8FFE0", ".jpg");<br> mFileTypes.put("89504E47", ".png");<br> mFileTypes.put("47494638", ".gif");<br> mFileTypes.put("49492A00", ".tif");<br> mFileTypes.put("424D", ".bmp");<br> // 办公文档类<br> mFileTypes.put("D0CF11E0", ".doc"); // ppt、doc、xls<br> mFileTypes.put("504B0304", ".docx"); // pptx、docx、xlsx<br> /** 注意由于文本文档录入内容过多,则读取文件头时较为多变-START **/<br> mFileTypes.put("0D0A0D0A", ".txt"); // txt<br> mFileTypes.put("0D0A2D2D", ".txt"); // txt<br> mFileTypes.put("0D0AB4B4", ".txt"); // txt<br> mFileTypes.put("B4B4BDA8", ".txt"); // 文件头部为汉字<br> mFileTypes.put("73646673", ".txt"); // txt,文件头部为英文字母<br> mFileTypes.put("32323232", ".txt"); // txt,文件头部内容为数字<br> mFileTypes.put("0D0A09B4", ".txt"); // txt,文件头部内容为数字<br> mFileTypes.put("3132330D", ".txt"); // txt,文件头部内容为数字<br> /** 注意由于文本文档录入内容过多,则读取文件头时较为多变-END **/<br> mFileTypes.put("25504446", ".pdf");<br> mFileTypes.put("255044462D312E", ".pdf");<br> // 压缩包<br> mFileTypes.put("52617221", ".rar");<br> mFileTypes.put("1F8B08", ".gz");<br>}<br>/**<br> * 判断上传的文件是否合法<br> * <br> * @param file<br> * 文件<br> * @param contentType<br> * 是否指定类型<br> * @param typeStr<br> * 文件类型后缀名(.jpg,.png,.gif,.jpeg)<br> * @return<br> */<br>public Boolean checkFileIllegal(MultipartFile file, String fileName, String typeStr) {<br> if (!file.isEmpty()) {<br> if (StringUtils.isNotBlank(file.getContentType())) {<br> String type = null;<br> try {<br> type = getFileType(file.getInputStream());<br> } catch (IOException e) {<br> logger.error("checkFileIllegal->getFileType->error:" + e.getMessage());<br> return false;<br> }<br> if (null != type && -1 != typeStr.indexOf(type)) {<br> int index = fileName.lastIndexOf(".");<br> if (StringUtils.isNotBlank(fileName) && -1 != index) {<br> String fileType = fileName.substring(index).toLowerCase();<br> if (-1 != typeStr.indexOf(fileType)) {<br> return true;<br> }<br> }<br> }<br> }<br> }<br> return false;<br>}<br>/**<br> * 根据文件的输入流获取文件头信息<br> * @return 文件头信息<br> */<br>public static String getFileType(InputStream is) {<br> byte[] b = new byte[4];<br> if (is != null) {<br> try {<br> is.read(b, 0, b.length);<br> } catch (IOException e) {<br> e.printStackTrace();<br> }<br> }<br> return mFileTypes.get(getFileHeader(b));<br>}<br>
|
总结
以上所说就是本文关于Java项目安全处理方法的全部内容,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对服务器之家网站的支持!
原文链接:https://www.2cto.com/kf/201702/596397.html