对于一个action请求(非ajax),如果不经过特别处理或不依赖于任何框架,请求的参数会暴露在地址栏中,可能会遭到xss攻击等安全问题。针对此种情况,自己写了一个对请求参数的加密解密算法,而地址的改写则用了urlrewriter插件(后端采用常见的ssm架构)。希望大家多多提出意见。
基本思路是:后台对一些比较敏感的参数进行数据加密,然后在传送到前端。当前端跳转到后台时(当然也可以通过UrlRewrite对地址进行改写传入后台),再由后台对其进行解密。
如:有一个userId = 1要传到前端,但是userId比较敏感,后台可以先对 1 进行加密变成 k230101io934jksd32r4,在传送到前端显示,这样用户就看不懂 k230101io934jksd32r4 的具体含义是什么
对这样一个url--http://1.1.1.1:8080/a.do?param=1,加密后变为:http://1.1.1.1:8080/a.do?param='k230101io934jksd32r4'(你也可以再通过UrlRewrite转换为http://1.1.1.1:8080/a/b/k230101io934jksd32r4),让用户更猜不透那个才是关键数据
前端加密算法:
encrypt.js
/*
*功能:对url加密算法(只针对window.location.href跳转,不针对post表单提交及ajax方式)
*算法:对于暴露在浏览器地址栏中的属性值进行加密,如一个属性为agentID=1,
* 若对1加密后为k230101io934jksd32r4,说明如下:
* 前三位为随机数;
* 第四到第五位为要加密字符转换成16进制的位数,
* 如:要加密字符为15转换成16进制为f,位数为1,则第四、五位为01;
* 第六位标识要加密字符为何种字符,0:纯数字,1:字符
* 若是字符和数字的混合,则不加密;
* 从第七位开始为16进制转换后的字符(字母和非数字先转换成asc码);
* 若加密后的字符总位数不足20位,则用随机数补齐到20位,若超出20位,则不加随机数。
* 即加密后总位数至少为20位。
*/
function encode16(str){
str=str.toLowerCase();
if (str.match(/^[-+]?\d*$/) == null){//非整数字符,对每一个字符都转换成16进制,然后拼接
var s=str.split("");
var temp="";
for(var i=0;i<s.length;i++){
s[i]=s[i].charCodeAt();//先转换成Unicode编码
s[i]=s[i].toString(16);
temp=temp+s[i];
}
return temp+"{"+1;//1代表字符
}else{//数字直接转换成16进制
str=parseInt(str).toString(16);
}
return str+"{"+0;//0代表纯数字
}
function produceRandom(n){
var num="";
for(var i=0;i<n;i++)
{
num+=Math.floor(Math.random()*10);
}
return num;
}
//主加密函数
function encrypt(str){
var encryptStr="";//最终返回的加密后的字符串
encryptStr+=produceRandom(3);//产生3位随机数
var temp=encode16(str).split("{");//对要加密的字符转换成16进制
var numLength=temp[0].length;//转换后的字符长度
numLength=numLength.toString(16);//字符长度换算成16进制
if(numLength.length==1){//如果是1,补一个0
numLength="0"+numLength;
}else if(numLength.length>2){//转换后的16进制字符长度如果大于2位数,则返回,不支持
return "";
}
encryptStr+=numLength;
if(temp[1]=="0"){
encryptStr+=0;
}else if(temp[1]=="1"){
encryptStr+=1;
}
encryptStr+=temp[0];
if(encryptStr.length<20){//如果小于20位,补上随机数
var ran=produceRandom(20-encryptStr.length);
encryptStr+=ran;
}
return encryptStr;
}
java后台解密算法:
/*
*解密为加密的逆过程
*/
public static String decodeValue(String value){
if(value.equals("")){
throw new NullPointerException();
}
if(value.length()<20){
throw new NullPointerException();
}
String charLength=value.substring(3, 5);//加密后的字符有多少位
int charLen=Integer.parseInt(charLength,16);//转换成10进制
int type=Integer.parseInt(value.substring(5, 6));//加密字符的类型(0:数字,1:字符串)
String valueEnc=value.substring(6, 6+charLen);//16进制字符串
if(type==0){
int trueValue=Integer.parseInt(valueEnc,16);
return String.valueOf(trueValue);
}else{
StringBuffer sb=new StringBuffer();
String[] valueEncArray=valueEnc.split("");
for(int i=1;i<valueEncArray.length;i+=2){
int value10=Integer.parseInt(valueEncArray[i]+valueEncArray[i+1],16);//转换成10进制的asc码
sb.append(String.valueOf((char)value10));//asc码转换成字符
}
return sb.toString();
}
}
java后台调用encrypt.js的代码进行加密
package com.group.util;
import java.io.FileReader;
import javax.script.ScriptEngine;
import javax.script.ScriptEngineManager;
public class myTest {
public static void main(String[] args) {
// 获取脚本引擎
ScriptEngineManager scriptEngineManager = new ScriptEngineManager();
ScriptEngine nashorn = scriptEngineManager.getEngineByName("nashorn");
try {
// 读取js文件内容
nashorn.eval(new FileReader("src/main/webapp/js/encrypt.js"));
//调用js代码,进行参数加密
Object eval = nashorn.eval("encrypt('" + 1 + "')");
System.out.println(eval);
} catch (Exception e) {
e.printStackTrace();
}
}
}
有人肯定会问了,前段已经有加密的算法了,为啥还要在java后台调用前段js代码进行加密?
问的好,当初我也想在前端直接调用js函数对敏感的数据进行加密,可是使用java的SSM框架,数据无法直接传到js中,有人会说可以使用ajax啊,ajax确实可以,但是对几个敏感的数据使用ajax,我觉得没必要,浪费性能。
那么又有人会说了,可以先把数据传送到前端,用input标签进行存储,然后把input的type设置为hidden,再给它一个id用于标识,js通过id找到input标签,然后获取其中需要加密的值进行加密,再去改变之前input标签存储的未加密的敏感数据 不也可以吗。
这样确实可以,但是这种做法有个问题是,你从后台把数据传到前端,再给input标签赋值时,在这段时间内,你的敏感数据都是没有经过加密的,那么有很大的可能就会被人给窃取
所以我采用的是在java后端直接使用js代码进行加密,然后再传送到前端。这样传入到前端的数据就是加密的,被窃取的可能性就减少了很多。
如果有遇到不懂或者有问题时,可以加我QQ:1035644768(标注 博客),希望能够跟大家交流学习!
该博客转载自:
作者:brantni