输入数据验证:虽然为了用户的方便,可以提供“客户端”层数据的数据验证,但必须使用servlet 在服务器层执行验证。 客户端验证本身就不安全,因为这些验证可轻易绕过,例如,通过禁用 javascript。一份好的设计通常需要 web 应用程序框架,以提供服务器端实用程序例程,从而验证以下内容:
- [1] 必需字段;
- [2] 字段数据类型(缺省情况下,所有 http 请求参数都是“字符串”);
- [3] 字段长度;
- [4] 字段范围;
- [5] 字段选项;
- [6] 字段模式;
- [7] cookie 值;
- [8] http 响应。
好的做法是将以上例程作为“验证器”实用程序类中的静态方法实现。以下部分描述验证器类的一个示例。
[1] 必需字段
// java example to validate required fields public class validator { ... public static boolean validaterequired(string value) { boolean isfieldvalid = false; if (value != null && value.trim().length() > 0) { isfieldvalid = true; } return isfieldvalid; } ... } ... string fieldvalue = request.getparameter("fieldname"); if (validator.validaterequired(f ieldvalue)) { // fieldvalue is valid, continue processing request ... }
[2] 输入的 web 应用程序中的字段数据类型和输入参数欠佳。例如,所有 http 请求参数或cookie值的类型都是“字符串”。开发者负责验证输入的数据类型是否正确。 使用java基本包装程序类,来检查是否可将字段值安全地转换为所需的基本数据类型。
验证数字字段(int 类型)的方式的示例:
// java example to validate that a f ield is an int number public class validator { ... public static boolean validateint(string value) { boolean isfieldvalid = false; try { integer.parseint(value); isfieldvalid = true; } catch (exception e) { isfieldvalid = false; } return isfieldvalid; } ... } ... // check if the http request parameter is of type int string f ieldvalue = request.getparameter("f ieldname"); if (validator.validateint(f ieldvalue)) { // f ieldvalue is valid, continue processing request ... }
好的做法是将所有http请求参数转换为其各自的数据类型。例如,开发者应将请求参数的“integervalue”存储在请求属性中,并按以下示例所示来使用:
// example to convert the http request parameter to a primitive wrapper data type // and store this value in a request attribute for further processing string f ieldvalue = request.getparameter("f ieldname"); if (validator.validateint(f ieldvalue)) { // convert f ieldvalue to an integer integer integervalue = integer.getinteger(f ieldvalue); // store integervalue in a request attribute request.setattribute("f ieldname", integervalue); } ... / / use the request attribute for further processing integer integervalue = (integer)request.getattribute("f ieldname"); ...
应用程序应处理的主要 java 数据类型:
- byte
- short
- integer
- long
- float
- double
- date
[3] 字段长度“始终”确保输入参数(http请求参数或cookie值)有最小长度和/或最大长度的限制。
以下示例验证 username 字段的长度是否在 8 至 20 个字符之间:
// example to validate the f ield length public class validator { ... public static boolean validatelength(string value, int minlength, int maxlength) { string validatedvalue = value; if (!validaterequired(value)) { validatedvalue = ""; } return (validatedvalue.length() >= minlength && validatedvalue.length() <= maxlength); } ... } ... string username = request.getparameter("username"); if (validator.validaterequired(username)) { if (validator.validatelength(username, 8, 20)) { / / username is valid, continue further processing ... } }
[4] 字段范围
始终确保输入参数是在由功能需求定义的范围内。
以下示例验证输入 numberofchoices 是否在 10 至 20 之间:
/ / example to validate the f ield range public class validator { ... public static boolean validaterange(int value, int min, int max) { return (value >= min && value <= max); } ... } ... string f ieldvalue = request.getparameter("numberofchoices");if (validator.validaterequired(f ieldvalue)) { if (validator.validateint(f ieldvalue)) { int numberofchoices = integer.parseint(f ieldvalue); if (validator.validaterange(numberofchoices, 10, 20)) { // numberofchoices is valid, continue processing request ... } } }
[5] 字段选项 web 应用程序通常会为用户显示一组可供选择的选项(例如,使用select html 标记),但不能执行服务器端验证以确保选定的值是其中一个允许的选项。请记住,恶意用户能够轻易修改任何选项值。始终针对由功能需求定义的受允许的选项来验证选定的用户值。
以下示例验证用户针对允许的选项列表进行的选择:
// example to validate user selection against a list of options public class validator { ... public static boolean validateoption(object[] options, object value) { boolean isvalidvalue = false; try { list list = arrays.aslist(options); if (list != null) { isvalidvalue = list.contains(value); } } catch (exception e) { } return isvalidvalue; } ... } ... // allowed options string[] options = {"option1", "option2", "option3"); // verify that the user selection is one of the allowed options string userselection = request.getparameter("userselection"); if (validator.validateoption(options, userselection)) { // valid user selection, continue processing request ... }
[6] 字段模式
始终检查用户输入与由功能需求定义的模式是否匹配。例如,如果 username 字段应仅允许字母数字字符,且不区分大小写,那么请使用以下正则表达式:^[a-za-z0-9]*$。
执行正则表达式验证的示例:
// example to validate that a given value matches a specif ied pattern // using the java 1.4 regular expression package import java.util.regex.pattern; import java.util.regexe.matcher; public class validator { ... public static boolean matchpattern(string value, string expression) { boolean match = false; if (validaterequired(expression)) { match = pattern.matches(expression, value); } return match; } ... } ... // verify that the username request parameter is alphanumeric string username = request.getparameter("username"); if (validator.matchpattern(username, "^[a-za-z0-9]*$")) { / / username is valid, continue processing request ... }
[7]cookie值使用javax.servlet.http.cookie对象来验证cookie值。适用于cookie值的相同的验证规则(如上所述)取决于应用程序需求(如验证必需值、验证长度等)。
验证必需 cookie 值的示例:
// example to validate a required cookie value // first retrieve all available cookies submitted in the http request cookie[] cookies = request.getcookies(); if (cookies != null) { // f ind the "user" cookie for (int i=0; i<cookies.length; ++i) { if (cookies[i].getname().equals("user")) { / / validate the cookie value if (validator.validaterequired(cookies[i].getvalue()) { // valid cookie value, continue processing request ... } } } }
[8] http 响应
[8-1] 过滤用户输入要保护应用程序免遭跨站点脚本编制的攻击,请通过将敏感字符转换为其对应的字符实体来清理 html。这些是 html 敏感字符:< > " ' % ; ) ( & +。
以下示例通过将敏感字符转换为其对应的字符实体,来过滤指定字符串:
// example to f ilter sensitive data to prevent cross-site scripting public class validator { ... public static string f ilter(string value) { if (value == null) { return null; } stringbuf fer result = new stringbuf fer(value.length()); for (int i=0; i<value.length(); ++i) { switch (value.charat(i)) { case '<': result.append("&lt;"); break; case '>': result.append("&gt;"); break; case '"': result.append("&quot;"); break; case '\'': result.append("&#39;"); break; case '%': result.append("&#37;"); break; case ';': result.append("&#59;"); break; case '(': result.append("&#40;"); break; case ')': result.append("&#41;"); break; case '&': result.append("&amp;"); break; case '+': result.append("&#43;"); break; default: result.append(value.charat(i)); break; } return result; } ... } ... // filter the http response using validator.filter printwriter out = response.getwriter(); // set output response out.write(validator.filter(response)); out.close();
java servlet api 2.3 引进了过滤器,它支持拦截和转换 http 请求或响应。
以下示例使用 validator.f ilter 来用“servlet 过滤器”清理响应:
// example to f ilter all sensitive characters in the http response using a java filter. // this example is for illustration purposes since it will f ilter all content in the response, including html tags! public class sensitivecharsfilter implements filter { ... public void dofilter(servletrequest request, servletresponse response, filterchain chain) throws ioexception, servletexception { printwriter out = response.getwriter(); responsewrapper wrapper = new responsewrapper((httpservletresponse)response); chain.dofilter(request, wrapper); chararraywriter caw = new chararraywriter(); caw.write(validator.f ilter(wrapper.tostring())); response.setcontenttype("text/html"); response.setcontentlength(caw.tostring().length()); out.write(caw.tostring()); out.close(); } ... public class charresponsewrapper extends httpservletresponsewrapper { private chararraywriter output; public string tostring() { return output.tostring(); } public charresponsewrapper(httpservletresponse response){ super(response); output = new chararraywriter(); } public printwriter getwriter(){ return new printwriter(output); } } }
[8-2] 保护cookie
在cookie中存储敏感数据时,确保使用cookie.setsecure(布尔标志)在 http 响应中设置cookie 的安全标志,以指导浏览器使用安全协议(如 https 或 ssl)发送cookie。
保护“用户”cookie 的示例:
// example to secure a cookie, i.e. instruct the browser to / / send the cookie using a secure protocol cookie cookie = new cookie("user", "sensitive"); cookie.setsecure(true); response.addcookie(cookie);
全文结束,有问题的可以留言大家探讨。