sql注入就是xss

A. SpringBoot 防止sql注入、XSS攻擊、CSRF/CROS惡意訪問

一、SQL 注入問題

SQL 注入即是指 web 應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴，攻擊者可以在 web 應用程序中事先定義好的查詢語句的結尾上添加額外的 SQL 語句，在管理員不知情的情況下實現非法操作，以此來實現欺騙資料庫伺服器執行非授權的任意查詢，從而進一步得到相應的數據信息。

簡單來說，就是將大部分 SQL 語句當參數傳入系統中，從而獲取系統中的數據。下面簡單舉例說明

系統中有這樣一條信息 SQL 語句執行，分頁查詢所有用戶，每頁查詢 20 條，並且根據指定欄位進行排序，也就是說排序欄位也是參數傳遞過來的

SQL 注入問題分析：

這樣很簡單的一句話 SQL，就可以把系統搞炸掉，這種方式可以實現刪庫跑路

以上語句會把整個 test 資料庫所有內容都刪掉

盡量用預編譯機制，少用字元串拼接的方式傳參，它是 sql 注入問題的根源。

有些特殊字元，比如：%作為 like 語句中的參數時，要對其進行轉義處理。

需要對所有的異常情況進行捕獲，切記介面直接返回異常信息，因為有些異常信息中包含了 sql 信息，包括：庫名，表名，欄位名等。攻擊者拿著這些信息，就能通過 sql 注入隨心所欲地攻擊你的資料庫了。目前比較主流的做法是，有個專門的網關服務，它統一暴露對外介面。用戶請求介面時先經過它，再由它將請求轉發給業務服務。這樣做的好處是：能統一封裝返回數據的返回體，並且如果出現異常，能返回統一的異常信息，隱藏敏感信息。此外還能做限流和許可權控制。

使用 sqlMap 等待代碼檢測工具，它能檢測 sql 注入漏洞。

需要對資料庫 sql 的執行情況進行監控，有異常情況，及時郵件或簡訊提醒。

對生產環境的資料庫建立單獨的賬號，只分配 DML 相關許可權，且不能訪問系統表。切勿在程序中直接使用管理員賬號。

建立代碼 review 機制，能找出部分隱藏的問題，提升代碼質量。

對於不能使用預編譯傳參時，要麼開啟 druid 的 filter 防火牆，要麼自己寫代碼邏輯過濾掉所有可能的注入關鍵字。

XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶載入並執行攻擊者惡意製造的網頁程序。這些惡意網頁程序通常是 JavaScript，但實際上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻擊成功後，攻擊者可能得到包括但不限於更高的許可權（如執行一些操作）、私密網頁內容、會話和 cookie 等各種內容。

通常情況下，被用來盜用 Cookie、破壞頁面結構、重定向到其他網站等

對用戶輸入的表單信息進行檢測過濾

CSRF - Cross-Site Request Forgery - 跨站請求偽造:

攻擊可以在受害者毫不知情的情況下以受害者名義偽造請求發送給受攻擊站點，從而在未授權的情況下執行在許可權保護之下的操作，CORS - Cross Origin Resourse-Sharing - 跨站資源共享，惡意訪問內網敏感資源。

有效的解決辦法是通過多種條件屏蔽掉非法的請求，例如 HTTP 頭、參數等：

防止大規模的惡意請求，niginx 反向代理可以配置請求頻率，對 ip 做限制。nginx 可以很方便地做訪問控制，特別是一些偶發性的大量惡意請求，需要屏蔽處理。

屏蔽 ip 地址

屏蔽 user-agent

屏蔽代理 ip

有兩種情形會需要屏蔽代理 ip：一是代理 ip 訪問，二是負載均衡（real-ip 請求負載均衡伺服器，再代理給後端 server）

創建 包裝器，這是實現 XSS 過濾的關鍵，在其內重寫了 getParameter，getParameterValues，getHeader 等方法，對 http 請求內的參數進行了過濾