如何验证各种攻击的请求主体？

发布于 2025-02-12 11:45:51 字数 633 浏览 0 评论 0原文

我正在写弹簧靴 REST API。

是否有更好的方法来 请求主体中的字段，以便它不应包含任何可能导致 owpasp 。

我的方法：目前使用Javax-validations @pattern注释。

public class Request {

    @JsonProperty(value = "name")
    @Pattern(regexp = "^[a-zA-Z][a-zA-Z\\s]*[a-zA-Z]$", message = "invalid name value")
    private String name;
}

因此，如果我们通过 json 喜欢：

{
    name : "<script>alert(1)<script>"
}

当请求body 获得时，这将被拒绝。

这是进行服务器端验证以防止盲人XS和二阶SQL和跨站点脚本等攻击的正确方法。

原文

I am writing a spring-boot rest api.

Is there any better way to validate fields in the request body such that it should not contain anything which could lead to any kind of attack defined by OWASP.

My Approach : Currently using javax-validations @Pattern annotation.

public class Request {

    @JsonProperty(value = "name")
    @Pattern(regexp = "^[a-zA-Z][a-zA-Z\\s]*[a-zA-Z]quot;, message = "invalid name value")
    private String name;
}

So if we pass json like:

{
    name : "<script>alert(1)<script>"
}

This will get rejected when RequestBody gets validated.

Is this the correct way to do server-side validation to protect from attacks like blind XSS and second-order SQL and Cross-Site Scripting.

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

梦初启 2025-02-19 11:45:52

我们需要分析SQL注入是如何发生的以及XSS的发生方式。

对于SQL注入，我们最好限制SQL操作的输入参数。将用户限制以附加或重建无效的值以构建执行SQL。
一个例子是：
[1]： https://github.com/iihero/blog/blob/main/main/securityprj/src/main/java/java/com/com/sean/workshop/security/security/sqlins/sqlinspent.java
最重要的部分是验证和限制响应部分。分析响应内容并避免XSS值。
在您的示例中，如果您没有直接输出源的内容：“警报（1）”。它不会产生影响。