java - 如何将 SOAP 响应安全地存储在数据库中？

Question

我正在开发一个内部工具，用于模拟我们产品使用的不同 Web 服务的 SOAP 响应。这旨在用于本地开发。

这个想法是将 SOAP 响应作为 blob 数据存储在数据库中。在将 URL 键映射到响应的过程中，URL 键和预期的 SOAP 响应将存储到数据库中。模拟的 SOAP 响应将作为 POST 请求中的字符串主体。

SOAP 响应将与 URL 键一起作为 blob 存储在数据库中。如果 URL 为 /configureresponse/{responsetype}/{responsecode}/，则响应类型和响应代码的值将与 SOAP 响应一起以字符串形式保存到数据库中。

我正在为此构建一个 Spring MVC 应用程序。代码片段如下

@Controller
@RequestMapping(value = "/configureresponse/{responsetype}/{responsecode}",
                method = RequestMethod.POST)
public ModelAndView configureResponse(
        @PathVariable String responseType, @PathVariable String responseCode,
        @RequestBody String soapResponse) {

}

1. 如何根据特定条件返回 Servlet 响应，例如 200 OK 或 403 Forbidden？

2. 是否有办法保护传入 XML 响应和传出 XML 响应的安全？这是一个内部工具，但我不确定如何处理 XML 注入(inject)或任何其他安全问题。

更新:如何保护应用程序免受十亿次笑声攻击或使其更加安全？

我应该检查 XSRF 漏洞吗？如果是，我该怎么做？

如何处理同一响应和请求的同时并发输入？

更新:如何检查一个线程是否正在更新给定响应类型和响应代码的响应，而另一个线程正在查看给定响应类型和响应代码的响应？

Answer 1

1. How do I return a Servlet Response such as 200 OK or 403 Forbidden based on certain conditions?

有多种方法可以做到这一点。例如，您可以将返回类型更改为 ResponseEntity<String> ，它有一个接受 HttpStatus 的构造函数。或者，您可以简单地传入 HttpServletResponse 并在那里设置响应代码。了解了 Spring，可能还有 20 种以上有效的方法来做到这一点。我建议阅读他们网站上提供的优秀引用指南。

1. Is there a way to secure the incoming XML response and the outgoing XML response? This is an internal tool, but I am not sure how to handle XML injection or any other security issues.

不确定“安全”是什么意思。如果您指的是传输，则使用 SSL。如果您指的是授权/身份验证，请使用 Spring Security。如果您有其他意思，那么我不知道该提供什么，只是说我需要更好地解释您想要/需要什么。

1. Should I be checking for XSRF vulnerability? If yes, how do I do that? Any link or tutorial would be welcome.

无论是内部应用程序还是外部应用程序，安全性都应该成为一个问题。如今，大多数黑客攻击都是通过社会工程侵入公司内网来完成的。以最近发生的 Target 违规事件为例。我相信他们使用了空调维修服务来进入大楼。我曾经参加过一次 Schmoocon 演讲，其中一个受雇来测试公司安全性的人实际上得到了一份看门人的工作，他会插入他构建的 Linux 设备，拖地板，然后拿起扫描了所有内部的设备网络。所以，是的，如果您认为应该防范攻击，那么我会说这样做。

1. How do I handle simultaneous concurrent inputs for the same response and request?

不知道你说的是什么意思。 Spring MVC 通常使用 session 来隔离请求。如果两个不同的用户请求同一事物，则它们是对同一事物的两个不同请求。我建议使用一些缓存，这样您就不会每次都访问数据库，但除此之外我认为没有问题。