J2EE安全开发(PPT 92页)
- 所属分类:
- 安全生产
- 文件大小:
- 3721 KB
- 下载地址:
- 相关资料:
- j2ee
J2EE安全开发(PPT 92页)内容简介
Java代码编码安全
代码框架安全
一、开发中常见漏洞介绍及示例说明和可参考的解决方法:
Web通用:
XSS、CSRF、SQL注入、文件上传等
J2EE特点所致:
组件信息泄露、安全目录绕过等
注入的Javascript脚本被解析执行,形成一个反射型XSS:
危害:
对于一般应用,用户cookie盗取(普通用户及管理员登录cookie)非法登录应用。
例如:tomcat与浏览器身份验证的sessionid是已cookie的形式存储浏览器客户
端
但可能有些标签在实际开发需要显示输出(如:<img>标签),影响到正常业务。就可以使用HTTPOnly方式防御,jsp显示模版示例伪代码:
response.setHeader(“Set-Cookie”,“cookiename=value;Path=/;Domain=domainvalue;Max-、Age=seconds;HTTPOnly");
设置HTTPOnly后,js域就无法获取cookie了,缓解危害!
..............................
代码框架安全
一、开发中常见漏洞介绍及示例说明和可参考的解决方法:
Web通用:
XSS、CSRF、SQL注入、文件上传等
J2EE特点所致:
组件信息泄露、安全目录绕过等
注入的Javascript脚本被解析执行,形成一个反射型XSS:
危害:
对于一般应用,用户cookie盗取(普通用户及管理员登录cookie)非法登录应用。
例如:tomcat与浏览器身份验证的sessionid是已cookie的形式存储浏览器客户
端
但可能有些标签在实际开发需要显示输出(如:<img>标签),影响到正常业务。就可以使用HTTPOnly方式防御,jsp显示模版示例伪代码:
response.setHeader(“Set-Cookie”,“cookiename=value;Path=/;Domain=domainvalue;Max-、Age=seconds;HTTPOnly");
设置HTTPOnly后,js域就无法获取cookie了,缓解危害!
..............................
用户登陆
安全生产热门资料
安全生产相关下载