ToB企服应用市场:ToB评测及商务社交产业平台

标题: Alibaba开发规范_安全规约：最佳实践与常见陷阱 [打印本页]

作者: 涛声依旧在 时间: 7 天前
标题: Alibaba开发规范_安全规约：最佳实践与常见陷阱

一、安全规约概述

随着互联网应用的普及，安全标题变得愈加严肃。攻击本事日益复杂，攻击者的动机和技术本事也不绝发展，给开发职员带来了巨大的挑战。为了应对这些挑战，必须遵循一系列的安全规约。这些规约涉及用户数据保护、权限控制、输入验证等多个方面，目标是最大限度地制止潜伏的安全毛病，保障用户信息和系统的安全性。
二、常见的安全规约

1. 用户个人页面和功能必须进行权限控制校验

在开发涉及用户个人数据的系统时，必须确保页面或功能能够进行权限控制校验。这意味着用户只能访问自己的数据，不能随意访问、修改或删除他人的数据。常见的权限控制方法包括角色权限控制（RBAC）、基于属性的访问控制（ABAC）等。
典范标题

没有做水平权限校验：用户能随意查察或修改他人的私信内容、订单信息等敏感数据。
办理方案：在每个哀求的处理环节，都应该校验当前用户是否有权限实行该操作。如果没有权限，应该直接返回授权错误信息。

// 假设我们有一个 UserController，用于处理用户相关的操作
@RestController
@RequestMapping("/user")
public class UserController {
@Autowired
private UserService userService;
// 获取用户信息
@GetMapping("/{userId}")
public ResponseEntity<User> getUserInfo(@PathVariable("userId") Long userId, Authentication authentication) {
// 获取当前登录用户的ID
Long currentUserId = (Long) authentication.getPrincipal();
// 校验当前用户是否有权限查看该用户信息
if (!currentUserId.equals(userId)) {
return ResponseEntity.status(HttpStatus.FORBIDDEN).body(null); // 权限不足
}
// 获取并返回用户信息
User user = userService.getUserById(userId);
return ResponseEntity.ok(user);
}
}

复制代码

2. 用户敏感数据克制直接展示，必须脱敏处理

为了保护用户隐私，所有用户的敏感信息（如身份证号、手机号码、银行卡号等）都应进行脱敏处理。脱敏不仅保护用户隐私，还能防止数据泄露。在中国大陆，个人手机号码常常会被脱敏显示为“137****0969”，这样可以有效保护用户的隐私。
办理方案

脱敏方法：敏感数据应根据业务需求和隐私保护要求进行得当的脱敏处理，如部分隐藏中央位数、使用星号替换等。
脱敏场景：对于显示敏感数据的所有页面，都应该实现脱敏处理，确保敏感数据不会泄露。

// 用户实体类中的手机号码字段脱敏
public class User {
private String username;
@JsonInclude(JsonInclude.Include.NON_NULL)
private String phoneNumber;
// 获取脱敏后的手机号码
public String getPhoneNumber() {
if (phoneNumber != null && phoneNumber.length() > 4) {
return phoneNumber.substring(0, 3) + "****" + phoneNumber.substring(7);
}
return phoneNumber;
}
// 其他字段和方法
}

复制代码

3. 用户输入的 SQL 参数必须严格使用参数绑定

SQL 注入是一种常见的攻击方式，通过构造恶意的 SQL 语句，攻击者可以操作数据库，获取、删除、修改数据，甚至长途实行恶意命令。为了防止 SQL 注入，必须严格使用参数化查询或预编译语句。
典范标题

字符串拼接 SQL：如果直接使用用户输入的值拼接 SQL 查询语句，容易导致 SQL 注入攻击。

办理方案

使用参数绑定：所有 SQL 查询语句都应使用参数化查询，制止直接拼接字符串。比如使用 Java 的 PreparedStatement 大概 ORM 框架（如 Hibernate）来处理查询参数。

// 不安全的写法
String sql = "SELECT * FROM users WHERE username = '" + username + "'";
// 安全的写法，使用参数绑定
PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE username = ?");
stmt.setString(1, username);
ResultSet rs = stmt.executeQuery();

复制代码

4. 用户哀求传入的参数必须做有效性验证

输入验证是防止恶意攻击（如 SQL 注入、反序列化注入、ReDoS、XSS 等）的第一道防线。开发职员必须确保所有用户传入的参数都经过有效的验证。常见的毛病包括：

SQL 注入：恶意用户通过构造特殊字符（如 ', --, /* 等）进行 SQL 注入攻击。
ReDoS（正则表达式拒绝服务）：恶意用户通过构造特殊字符串，使得正则表达式在校验过程中进入死循环，消耗大量系统资源。
反序列化注入：攻击者通过发送恶意的序列化数据，触发反序列化毛病，进而实行恶意代码。

办理方案

验证输入合法性：对用户输入的所有参数进行范例、长度、格式等的校验，并制止使用不安全的正则表达式。
限制查询范围：对于分页查询的参数如 page size，应该设定合理的限制，防止因过大哀求引起的内存溢出。

// 示例：验证分页参数，防止过大参数引发内存溢出等问题
public void validatePageSize(int pageSize) {
if (pageSize <= 0 || pageSize > 100) {
throw new IllegalArgumentException("Page size must be between 1 and 100");
}
}
// 正则验证用户输入的邮箱地址，防止ReDoS攻击
public boolean isValidEmail(String email) {
String regex = "^[\\w-]+(\\.[\\w-]+)*@[\\w-]+(\\.[\\w-]+)+$";
Pattern pattern = Pattern.compile(regex);
Matcher matcher = pattern.matcher(email);
return matcher.matches();
}

复制代码

5. 克制向 HTML 页面输出未经安全过滤或未精确转义的用户数据

跨站脚本攻击（XSS）是指攻击者通过向网页中注入恶意脚本代码，劫持用户的会话、盗取用户数据等。为了防止 XSS 攻击，必须对所有用户输入的内容进行精确的 HTML 转义，制止将未经处理的用户数据直接渲染到页面上。
办理方案

HTML 转义：使用专门的 HTML 转义库，制止直接输出用户输入的数据。
防御 XSS：在页面渲染时，应该对用户输入的数据进行转义，以防止恶意脚本的注入。

// HTML转义：防止XSS攻击
public String escapeHtml(String input) {
if (input == null) {
return null;
}
return HtmlUtils.htmlEscape(input); // 使用Spring的HtmlUtils类进行HTML转义
}
// 示例：输出用户输入的内容时进行转义
public void renderUserComment(String comment) {
String safeComment = escapeHtml(comment);
// 将safeComment输出到HTML页面
}

复制代码

6. 表单、AJAX 提交必须实行 CSRF 安全验证

跨站哀求伪造（CSRF）攻击答应攻击者通过伪造哀求来篡改用户的数据。为了防止 CSRF 攻击，必须在表单提交或 AJAX 哀求中添加 CSRF Token，确保哀求是由合法用户发起的。
办理方案

CSRF Token：在每次哀求时，天生唯一的 CSRF Token，并将其嵌入到表单中或通过 AJAX 哀求发送。服务器验证该 Token，确保哀求来源的合法性。

// CSRF Token验证（Spring Security自动提供CSRF防护）
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
// 其他安全配置
}
}
// 在表单提交时附带CSRF Token
<form action="/updateProfile" method="POST">
<input type="hidden" name="_csrf" value="${_csrf.token}" />
</form>

复制代码

7. 必须实现防重放机制

重放攻击是指攻击者通过截获并重新发送合法的哀求，从而伪造用户操作。为防止重放攻击，应接纳肯定的防重放机制，如哀求的唯一标识符、验证码、频率限制等。
办理方案

哀求唯一标识符：每个哀求都应该带上唯一的标识符，防止哀求被重放。
频率限制：限制哀求的频率，防止恶意用户通过大量哀求造成系统资源浪费。

// 使用验证码防止滥用（短信验证码示例）
public class SmsService {
private Map<String, Long> smsRequestTimestamp = new HashMap<>();
private static final int COOLDOWN_TIME = 60 * 1000; // 1 minute cooldown time
public boolean sendSms(String phoneNumber) {
long currentTime = System.currentTimeMillis();
// 检查是否超过冷却时间
if (smsRequestTimestamp.containsKey(phoneNumber) &&
currentTime - smsRequestTimestamp.get(phoneNumber) < COOLDOWN_TIME) {
return false; // 短信请求过于频繁
}
// 发送短信逻辑（省略）
smsRequestTimestamp.put(phoneNumber, currentTime); // 记录发送时间
return true;
}
}

复制代码

8. 用户天生内容的场景必须实现风控战略

在用户天生内容（UGC）的场景中，如发帖、评论、发送即时消息等，攻击者大概通过恶意内容、刷屏、发布违禁词等方式干扰系统。为此，必须实现防刷、内容过滤等风控战略。
办理方案

防刷机制：限制用户的发帖、评论频率，制止垃圾信息的泛滥。
违禁词过滤：对用户提交的内容进行审查，过滤掉敏感词或不符合规定的内容。

// 防刷机制：限制发帖频率
public boolean canPost(String userId) {
Long lastPostTime = userPostTimestamp.get(userId);
long currentTime = System.currentTimeMillis();
if (lastPostTime != null && currentTime - lastPostTime < 3000) { // 3秒钟内不能发帖
return false;
}
// 更新发帖时间
userPostTimestamp.put(userId, currentTime);
return true;
}
// 违禁词过滤
public String filterBadWords(String content) {
List<String> badWords = Arrays.asList("illegal", "spam", "badword");
for (String word : badWords) {
content = content.replaceAll("(?i)" + word, "****"); // 替换违禁词为星号
}
return content;
}

复制代码

三、小结

安满是软件开发中的一个焦点要素，特殊是在涉及到用户数据和交互的系统中。为了保护用户信息，防止各种恶意攻击，开发职员必须遵守严格的安全规约。这些规约包括权限控制、数据脱敏、SQL 注入防护、输入验证、XSS 防护等方面。通过合理的计划和安全步伐，可以大大进步系统的安全性，制止因毛病导致的数据泄露、服务停止等标题。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)