快手、孩子王、华为等专家分享大模型在电商运营、母婴消费、翻译等行业场景的实际应用 了解详情
写点什么

安全框架 HDIV 2.0:现支持与 Spring MVC 和 JSTL 的集成

  • 2007-09-20
  • 本文字数:1459 字

    阅读完需:约 5 分钟

开源 Web 应用安全框架 HDIV 最近发布了 2.0 版。为了解更多关于此次发布的情况,InfoQ 采访了 HDIV 项目领队 Roberto Velasco Sarasola。

Sarasola 将 HDIV 描述为 Java Web 应用安全框架,它旨在防止绝大多数常见的 Web 应用攻击,如 SQL 注入、跨站点脚本和参数篡改。HDIV 假定任何远程 HTTP 客户端请求都会成为攻击媒介,并着手验证请求不是某种类型的攻击——这意味着要解决存在于现有应用框架中验证策略的缺口:

当前 Web 框架提供了一些验证功能,但是大多数时候它们不足以覆盖常用验证的需要。例如,在你的 Web 应用中有一个这样的链接 http://www.myhost.com/action1.do?account=56,访问帐号为 56 的信息,你如何保证客户端不会更改这个值去访问其他人的帐号,如 account=40? 使用标准安全验证器(validator)(更适合用于可编辑数据验证),不可能检查这种情况,你需要自定义验证。例如,在 HttpSession 中包含帐号 id 或在数据库中执行的 SQL 里使用用户标识。这种安全问题,被认为是实例级别的安全,它非常难以解决。因为,在一个 Web 应用中,有成千上万条相似的请求需要被验证。

以下是 Sarasola 描述的 HDIV 所提供的抵御这些攻击种类的能力:

  • 数据完整性——为了防止参数篡改,HDIV 保证任何服务器产生的、只读数据(如隐藏域)不能被客户端修改。
  • 可编辑数据验证——为了去除跨站点脚本和 SQL 注入攻击,HDIV 分析所有的可编辑数据域。
  • 数据保密——通过混淆参数名称和值,HDIV 加密了不可编辑数据,这样防止了内部数据(如列名或 Web 目录名)暴露给客户端。
  • 详细的攻击日志——HDIV 记录它检测到的每次攻击的信息,信息包括:URL、用户名、IP 地址和攻击类型。

HDIV 通过自定义 JSP 标签与 Java Web 应用集成,标签用来替换普通的链接和 Form 标签。在应用的 web.xml 中插入一个 HDIV Web 过滤器,这样将对每个请求自动执行验证。在以前版本中,HDIV 支持 Struts 1.x Struts 2.x ,而本次发布现在也支持 Spring MVC 2.0 JSTL 。对这些新框架的支持是靠扩展 Spring 和 JSTL 标签本身并在其中加入 HDIV 功能做到的——为了支持它们,对核心 HDIV 库和 Web 过滤器都不需要做任何改动。同样,既然 Spring 和 Struts 都是基于 Action 的框架,在 HDIV 看来,它们非常相似——Sarasola 说最大的挑战是扩展框架标签本身,因为标签上定义的扩展点非常糟糕或者压根儿就不存在。他也表示期望框架开发者能对标签增加定义良好的扩展点,以使得其他框架的开发者可以更加容易的集成它们。

Sarasola 还被问到了对于 HDIV 的后续打算,他描述了一个针对 Webflow 集成的计划:

目前 HDIV 支持 3 种状态管理策略。就内存和哈希(memory and hash)策略来说,HDIV 为每个可能在 JSP 中被处理的请求(每个链接或 Form 之一)在服务器端保存一个对象(状态)。有趣的是,从伸缩性的观点来看,它限制了服务器端的缓存大小。在当前的发布中,可以定义一个最大缓存大小,但是很多时候很难定义一个合适大小的缓存,因为这依赖于应用。 我们考虑用 Webflow 来解决这个问题 ,因为它提供了一种逻辑划分客户端导航的方法。这样,HDIV 将使用 Webflow 监听器的功能来决定何时从缓存删除对象。

另一个有趣的特性是,利用自定义标签,HDIV 给每个链接或 Form 自动加上了 webflow execution key。现在,在 Struts、Struts 2 和 Spring MVC 应用中,我们不得不手动增加这个 id,我们非常高兴能让这个任务自动起来。

同时,他还指出对于 WebWork Stripes JSF 的支持也在计划之列。

查看英文原文: HDIV 2.0: Security framework now integrates with Spring MVC and JSTL

2007-09-20 00:305738
用户头像

发布了 255 篇内容, 共 56.5 次阅读, 收获喜欢 10 次。

关注

评论

发布
暂无评论
发现更多内容

电商秒杀系统设计

intelamd

收藏好,程序员必逛的 20 个网站

乌龟哥哥

8月月更

RocketMQ高可用设计之主从复制和读写分离

急需上岸的小谢

8月月更

长安链学习 -WEB插件-SmartPlugin

[JS真好玩] 嘘!我改了掘金源代码!1行代码,让表格支持page_size切换,从每页10条变为20条!

HullQin

CSS JavaScript html 前端 8月月更

长安链学习-build_release.sh

长安链

头脑风暴:最长公共子序列

HelloWorld杰少

算法 LeetCode 8月月更

千万用户3毫秒内抽奖100名如何实现?

知识浅谈

8月月更

Go-Excelize API源码阅读(十六)——GetSheetViewOptions、SetPageLayout

Regan Yue

Go 源码 Excelize 8月日更 8月月更

总结

Asha

Spring 全家桶之 Spring Data JPA(三)

小白

8月月更

基于STM32+ESP8266设计物联网产品(重点支持微信小程序一键配网连接腾讯云平台)

DS小龙哥

8月月更

拜托!不要用“ ! = null 做判空了

TimeFriends

8月月更

【LeetCode】最大二叉树Java题解

Albert

LeetCode 8月月更

云原生(二十三) | Kubernetes篇之Kubernetes 网络策略(NetworkPolicy)

Lansonli

云原生 k8s 8月月更

SpringBoot 快速入门(保姆级详细教程)

SpringBoot 2 8月月更

如何在 SAP Spartacus 中编写 ASM-Compatible 的代码

汪子熙

angular SAP Hybris Spartacus 8月月更

RT-Thread记录(十、全面认识 RT-Thread I/O 设备模型)

矜辰所致

单片机I/O设备的控制方式 RT-Thread 8月月更 设备模型

C++多态纯虚函数和抽象类与多态案例(二)

CtrlX

c c++ 面向对象 多态 8月月更

Linux 的十大下载管理器,提升效率杠杠的,偷着乐吧!

wljslmz

Linux 8月月更

【LeetCode】检查单词是否为句中其他单词的前缀Java题解

Albert

LeetCode 8月月更

Spring 全家桶之 Spring Data JPA(四)

小白

8月月更

Spring 全家桶之 Spring Data JPA(五)

小白

8月月更

高绩效研发团队领导者的视野和格局

顺哥聊成长

毕业总结

intelamd

Kubernetes是不是下一个容错域

CTO技术共享

模块九毕业设计

Geek_2ce415

毕业总结

Geek_2ce415

Kubernetes 服务网格实现

CTO技术共享

大数据训练营一期毕业作业

张大彪

Kubernetes 集群API创建管理

CTO技术共享

安全框架HDIV 2.0:现支持与Spring MVC和JSTL的集成_Java_Ryan Slobojan_InfoQ精选文章