Qualcuno potrebbe dimostrare un piccolo codice per la sicurezza di primavera per le classi StrictHttpFirewall e Websecurity? Voglio difendermi dagli attacchi XSS, dalle iniezioni SQL, che si tratti di POST o GET, su tutti gli URL. Dove dovremmo istanziare e iniettare questi fagioli?
Tutti gli attacchi a cui fai riferimento possono essere mitigati con convalida dell'input dell'utente .
Non vuoi che il tuo sito attacca un altro sito? Quindi non consentire determinati caratteri di comando in modo che non possano costruire gli script. Fare un controllo esplicito per cercare comportamenti di comunicazione per XSS. Cerca i tag e il codice Javascript.
SQL Injection può anche essere mitigato dalla convalida dell'input dell'utente. Assicurati che se stai cercando il nome di una persona in una variabile, stai consentendo solo caratteri appropriati per i nomi che desideri (nessun carattere estraneo: & lt ;, & gt ;, $,%, *, ecc.). Puoi anche aiutare a mitigare ciò usando un utente del database che ha provveduto all'accesso alle tabelle in questione: SELECT e INSERT ma non DELETE, ecc.
Leggi altre domande sui tag spring-framework