gpt4 book ai didi

security - Spring + Tomcat URL白名单防止命令注入(inject)

转载 作者:行者123 更新时间:2023-11-28 21:59:22 25 4
gpt4 key购买 nike


我目前有一个由 ~100 个唯一 URL + ~75 个页面组成的网络应用程序。该应用程序使用 Spring 来确保安全并使用 Tomcat 来托管。我的问题是如何防止发生以下情况:
http://localhost/myApp/myPage;rollback;

如果不清楚,我试图阻止我的应用程序处理任何超过 myPage 的内容,这些内容会在白名单中找到。如果这不是解决此问题的正确方法,那什么才是?

编辑

为了完整起见。我正在使用 Spring MVC。发生的事情是应用程序将查询字符串传递回我的应用程序,处理 sql 命令(因为它通过 DAO)。我们通过对返回的信息进行编码来解决这个问题,以暂时尽可能地缓解这一问题。

最佳答案

您可以添加 custom filter到 spring 安全过滤器链以查找分号并在请求到达 servlet 代码之前将其过滤掉。

关于security - Spring + Tomcat URL白名单防止命令注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3999598/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com