Freemarker中如何避免xss漏洞

什么是XSS漏洞试想一下,如果我们开发一个订单系统,订单名称如果没有做限制,允许用户输入任意字符,那么就有产生XSS的危险。攻击者可以很容易编写一个恶意JS脚本,然后将当前登录用户的cookie或者其他敏感信息抓取到,发送给攻击者自己,这就是XSS(跨站脚本)攻击。如何解决这个问题,首先我们想到的是在用户输入订单的时候,我们对订单名称做限制,不允许输入特殊字符。这样是可以避免的,不过对于一个大的系

security
Freemarker

VirtualBox虚拟机和宿主机实现网络互通配置

由于想要在本地测试一下syslog以及安装jenkins等需求,所以想在本地安装一个虚拟机,并且能够在宿主机上访问,所以想利于virtualbox上安装一个linux来实现,尝试了几次,其实配置挺简单的,这里记录一下。 接入方式对比VirtualBox的提供了四种网络接入模式 NAT 网络地址转换模式(NAT,Network Address Translation) :宿主机做nat转换,对

虚拟机
VirtualBox

记一次重写RequestMappingHandlerMapping的经历

近期公司的产品做了一次安全审查,发现后端提供的接口有不安全的Http方法漏洞。不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 原因分析引起这个问题的原因其实很简单,因为开发人员开发接口的时

security
Spring

如何获取用户真实IP

在web开发过程中,我们经常需要获取用户客户端的真实IP。比如我们想知道客户的地理位置分布;比如服务端需要将会话和IP地址绑定,以提高安全性等。但是一般在分布式系统中,为了提高系统的可靠性和性能,都会采用代理来分发用户的请求,导致获取用户真实IP变得有些麻烦。 获取调用方IP的方法直接调用HttpServletRequest中的request.getRemoteAddr()方法,获取的IP地址

服务端
服务端

git技巧之git stash

功能英文单词:stash的原意是储藏的意思。当我们在开发过程中,代码写了一部分,由于某种原因需要切换到另一个分支上,比如临时需要切换到另一个需求上开发另一个任务,这个时候就我们就需要某种手段临时保存手头上没有完成的任务,在另一个任务做完了之后,再恢复这个没有完成的任务继续开发。这个过程是不是有点类似,操作系统中发生函数调用时,保存现场和恢复现场? 示例 创建存储 git stash 运行这个命令之

git
git