SQL注入を防ぐために準(zhǔn)備されたステートメントを使用し、ユーザーの入力式の実行を避け、入力のホワイトリストの検証を避けます。 2。スプリングセキュリティなどの成熟したフレームワークを使用して認(rèn)証を管理し、bcryptなどの強力なハッシュストレージを使用し、httponlyのCookieを設(shè)定し、セッションIDを安全に再生します。 3. OWASP Javaエンコーダーを使用して、出力時にHTMLおよびJavaScriptコンテキストをエンコードし、CSPヘッダーを設(shè)定してスクリプトのソースを制限し、インラインスクリプトを禁止し、評価（）。 4.サーバーで均一に入力を検証し、JSR-380を使用して検証パラメーターを注釈、ファイルのアップロードタイプとサイズを制限し、ファイルパスを確認(rèn)してパストラバースの防止を検証します。 5. OWASPを使用してOWASPを使用して入力を均一に検証し、JSR-380を使用して検証パラメーターを注釈、ファイルのアップロードタイプとサイズを制限し、ファイルパスを確認(rèn)してパストラバーサルを防止します。 5. OWASPを使用して入力を均一に検証し、JSR-380を使用して検証パラメーターを注釈、ファイルのアップロードタイプとサイズを制限し、ファイルパスを確認(rèn)してパストラバーサルを防ぐ。 5. OWASP依存関係チェックを使用して、依存関係の脆弱性のために定期的にスキャンし、生産環(huán)境でのデバッグ情報を閉じ、Xコンテンツタイプのオプション、Xフレームオプション、HSTなどのセキュリティ応答ヘッダーを構(gòu)成します。 6. @preauthorizeを使用してRBAC許可制御を達(dá)成し、バックエンドはデータベースIDの直接の公開を避けるために要求するたびにアクセス許可をチェックします。 UUIDを使用することをお勧めします。セキュリティは、開発プロセス全體を?qū)g行する必要があります。上記の仕様に従うことで、一般的な脆弱性を効果的に防止し、Java Webアプリケーションのセキュリティを確保できます。

安全なJava Webアプリケーションを作成することは、データ侵害、サービス停止、悪意のある攻撃を防ぐための鍵です。 Webアプリケーションがますます複雑になるにつれて、開発者はセキュリティのリスクを減らすためにさまざまなセキュリティコーディング仕様に従う必要があります。以下は、一般的な脆弱性とベストプラクティスをカバーするJava Webアプリケーション向けの実用的なセキュリティコーディングガイドです。

1.注入攻撃を防止する（SQL、コマンド、発現(xiàn)注入）

注入は、中期および長期のOWASPトップ10のトップ脆弱性タイプです。攻撃者は、悪意のある入力を構(gòu)築することにより、バックエンドロジックを操作します。

重要な対策：

• 事前コンパイルされたステートメントを使用する（preatedStatement）
  SQL文字列のスプライシングを避け、常にPreparedStatementとパラメータープレースホルダーを使用します。

   string sql = "select * from users where username =？";
  try（preatedStatement pstmt = connection.preparestatement（sql））{
      pstmt.setstring（1、username）;
      結(jié)果rs = pstmt.executequery（）;
  }

• EL式またはOGNLの動的実行を避けてください
  javax.el.ELProcessorまたは同様のメカニズムを使用して、ユーザーが入力した式を?qū)g行しないでください。

  

• 入力検証とホワイトリストフィルタリング
  ホワイトリストを使用して許可された文字またはフォーマットを制限するすべてのユーザー入力を確認(rèn)します。

2.アイデンティティ認(rèn)証とセッション管理を正しく処理します

アイデンティティ認(rèn)証は、アクセス制御のための最初の防衛(wèi)線であり、不適切な実裝はアカウントのハイジャックにつながる可能性があります。

提案されたプラクティス：

• 成熟した認(rèn)証フレームワークを使用
  Spring SecurityやApache Shiroなどの成熟したフレームワークを使用して、ログインロジックを自分で実裝しないようにすることが優(yōu)先されます。

• パスワードストレージを保護する
  パスワードを明示的に保存しないでください。強力なハッシュアルゴリズム（BCRYPT、PBKDF2、Argon2など）を使用してください。

   // Spring Securityを使用したPasswordEncoder
  @Autowired
  プライベートPasswordEncoder PasswordEncoder;
  
  string hashedpassword = passwordencoder.encode（rawpassword）;

• セキュリティ管理セッション

  • セッションタイムアウト時間を設(shè)定します（操作なしで30分など）

  • 安全なCookie屬性を使用します：

     Cookie Cookie = new Cookie（ "JSessionId"、sessionId）;
    cookie.sethttponly（true）; // XSSがcookie.setsecure（true）を読むことを防ぎます。 // cookie.setpath（ "/"）;転送//パスを制限します

• 固定セッションIDは避けてください
  セッションの固定攻撃を防ぐために、正常にログインした後、セッションIDを再生してください。

3。ディフェンスクロスサイトスクリプト（XSS）

XSSを使用すると、攻撃者はユーザーのブラウザで悪意のあるスクリプトを?qū)g行したり、Cookieを盜んだり、ユーザーになりすまします。

保護戦略：

• 出力エンコード
  ユーザーデータをHTML、JavaScript、URLコンテキストに出力するときに適切なエンコードを?qū)g行します。 OWASP Javaエンコーダーを使用することをお勧めします：

   string safeoutput = encode.forhtml（userInput）;
  string safeScript = encode.forjavascript（userInput）;

• コンテンツセキュリティポリシーの設(shè)定（CSP）
  HTTP応答ヘッダーを介して実行可能なスクリプトのソースを制限します。

   Content-Security-Policy：default-src 'self'; Script-src 'self' https://trusted.cdn.com

• インラインスクリプトやeval()を避けます
  外部JSファイルを使用してみてください。ユーザーコンテンツをスプライスするためにeval()とinnerHTMLを使用して禁止します。

4.入力と出力を確認(rèn)して保護します（入力検証と出力クリーニング）

クライアントからのすべてのデータは、信頼されていないと見なされる必要があります。

実裝ポイント：

• 統(tǒng)合入力検証層
  すべての要求パラメーターは、コントローラーまたはサービスレイヤーでチェックされ、Bean検証（JSR-380）：

  パブリッククラスユーザーフォーム{
      @notblank
      @email
      プライベート文字列メール;
  
      @size（min = 6、max = 20）
      プライベート文字列パスワード。
  }

• ファイルのアップロードタイプとサイズを制限します

  • ファイル拡張機能とMIMEタイプを確認(rèn)します（フロントエンドのみに依存しないでください）
  • アップロードされたファイルをWebルートディレクトリの外側(cè)に保存します
  • 悪意のあるコンテンツを含めるようにファイルをスキャンします

• パストラバーサル
  を避けてください ユーザー入力をファイルパスとして直接使用しないでください。パスが許容範(fàn)囲內(nèi)にあるかどうかを確認(rèn)します。

   path beasedir = paths.get（ "/safe/upload/dir"）。toabsolutepath（）;
  path userfile = paths.get（inputFileName）.ToAbsolutepath（）;
  if（！userfile.startswith（beadir））{
      新しいIllegalargumentException（ "無効なファイルパス"）を投げます。
  }

5。セキュリティ構(gòu)成と依存関係管理

多くの脆弱性は、誤解または脆弱なサードパーティライブラリの使用によって引き起こされます。

注：

• 依存関係ライブラリ
  を定期的に更新します Maven/Gradleプラグインを使用して、次のような依存関係の脆弱性を確認(rèn)します。

   <！ -  maven owasp依存関係チェック - >
  <プラグイン>
      <groupid> org.owasp </groupid>
      <Artifactid>依存関係-Check-Maven </artifactid>
      <バージョン> 8.5.0 </version>
      <実行>
          <実行>
              <ゴール>
                  <ゴール>チェック</goal>
              </目標(biāo)>
          </実行>
      </実行>
  </プラグイン>

• デバッグ情報を閉じてスタックトレース
  システム情報の漏れを避けるために、生産環(huán)境で詳細(xì)なエラーページを無効にします。

• セキュリティ応答ヘッダーを構(gòu)成
  次のHTTPセキュリティヘッダーを追加します。

   X-Content-Type-Options：nosniff
  X-Frame-Options：拒否
  Strict-Transport-Security：Max-age = 31536000; includeubdomains

6.アクセス制御と許可確認(rèn)

ユーザーがログインしていても、アクションを?qū)g行する許可があるかどうかを確認(rèn)する必要があります。

ベストプラクティス：

• ロールベースのアクセス制御（RBAC）を?qū)g裝する
  Spring Securityに@PreAuthorize Annotationを使用してください。

   @preauthorize（ "hasrole（ 'admin'）"）
  @deletemapping（ "/users/{id}"）
  public ResponseNtity <？

• 要求ごとに許可チェックが実行されます
  フロントエンドがボタンを隠している場合でも、バックエンドは現(xiàn)在のユーザーがリソースにアクセスできるかどうかを確認(rèn)する必要があります（不正アクセスを防止します）。

• データベースIDを直接公開しないでください
  UUIDまたは間接的な參照を使用して、ID推測のリスクを減らすことを検討してください。

基本的にこれらのコアポイント。セキュリティは1回限りのタスクではなく、開発、テスト、展開のプロセス全體を?qū)g行する習(xí)慣です。エンコード時にもう1つのステップについて考える限り、最も一般的な脆弱性を回避できます。

以上がJava Webアプリケーションのセキュアコーディングガイドラインの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。