使用PreparedStatement防止SQL注入，避免執(zhí)行用戶輸入的表達(dá)式，對輸入進(jìn)行白名單驗(yàn)證；2. 採用Spring Security等成熟框架管理認(rèn)證，密碼使用bcrypt等強(qiáng)哈希存儲(chǔ)，設(shè)置HttpOnly、Secure的Cookie並重新生成會(huì)話ID；3. 輸出時(shí)使用OWASP Java Encoder進(jìn)行HTML、JavaScript上下文編碼，設(shè)置CSP頭限制腳本來源，禁止內(nèi)聯(lián)腳本和eval()；4. 在服務(wù)端統(tǒng)一驗(yàn)證輸入，使用JSR-380註解校驗(yàn)參數(shù)，限製文件上傳類型與大小，校驗(yàn)文件路徑防止路徑遍歷；5. 使用OWASP Dependency-Check定期掃描依賴漏洞，生產(chǎn)環(huán)境關(guān)閉調(diào)試信息，配置X-Content-Type-Options、X-Frame-Options、HSTS等安全響應(yīng)頭；6. 使用@PreAuthorize實(shí)現(xiàn)RBAC權(quán)限控制，後端每次請求均校驗(yàn)權(quán)限，避免直接暴露數(shù)據(jù)庫ID，推薦使用UUID。安全需貫穿開發(fā)全流程，遵循上述規(guī)範(fàn)可有效防範(fàn)常見漏洞，保障Java Web應(yīng)用安全。

編寫安全的Java Web 應(yīng)用程序是防止數(shù)據(jù)洩露、服務(wù)中斷和惡意攻擊的關(guān)鍵。隨著Web 應(yīng)用日益複雜，開發(fā)人員必須遵循一系列安全編碼規(guī)範(fàn)，以降低安全風(fēng)險(xiǎn)。以下是針對Java Web 應(yīng)用的實(shí)用安全編碼指南，涵蓋常見漏洞和最佳實(shí)踐。

1. 防止注入攻擊（SQL、命令、表達(dá)式註入）

注入是OWASP Top 10 中長期位居前列的漏洞類型。攻擊者通過構(gòu)造惡意輸入來操控後端邏輯。

關(guān)鍵措施：

• 使用預(yù)編譯語句（PreparedStatement）
  避免拼接SQL 字符串，始終使用PreparedStatement和參數(shù)佔(zhàn)位符：

   String sql = "SELECT * FROM users WHERE username = ?";
  try (PreparedStatement pstmt = connection.prepareStatement(sql)) {
      pstmt.setString(1, username);
      ResultSet rs = pstmt.executeQuery();
  }

• 避免動(dòng)態(tài)執(zhí)行EL 表達(dá)式或OGNL
  不要使用javax.el.ELProcessor或類似機(jī)制執(zhí)行用戶輸入的表達(dá)式。

  

• 輸入驗(yàn)證與白名單過濾
  對所有用戶輸入進(jìn)行校驗(yàn)，使用白名單限制允許的字符或格式。

2. 正確處理身份認(rèn)證與會(huì)話管理

身份認(rèn)證是訪問控制的第一道防線，不當(dāng)實(shí)現(xiàn)可能導(dǎo)致賬戶劫持。

建議做法：

• 使用成熟的認(rèn)證框架
  優(yōu)先使用Spring Security、Apache Shiro 等成熟框架，避免自行實(shí)現(xiàn)登錄邏輯。

• 安全存儲(chǔ)密碼
  永遠(yuǎn)不要明文存儲(chǔ)密碼。使用強(qiáng)哈希算法（如bcrypt、PBKDF2、Argon2）：

   // 使用Spring Security 的PasswordEncoder
  @Autowired
  private PasswordEncoder passwordEncoder;
  
  String hashedPassword = passwordEncoder.encode(rawPassword);

• 安全管理會(huì)話

  • 設(shè)置會(huì)話超時(shí)時(shí)間（如30 分鐘無操作）

  • 使用安全的Cookie 屬性：

     Cookie cookie = new Cookie("JSESSIONID", sessionId);
    cookie.setHttpOnly(true); // 防止XSS 讀取cookie.setSecure(true); // 僅通過HTTPS 傳輸cookie.setPath("/"); // 限制路徑

• 避免固定會(huì)話ID
  登錄成功後務(wù)必重新生成會(huì)話ID，防止會(huì)話固定攻擊。

3. 防禦跨站腳本（XSS）

XSS 允許攻擊者在用戶瀏覽器中執(zhí)行惡意腳本，竊取Cookie 或冒充用戶。

防護(hù)策略：

• 輸出編碼
  在將用戶數(shù)據(jù)輸出到HTML、JavaScript、URL 上下文時(shí)進(jìn)行適當(dāng)編碼。推薦使用OWASP Java Encoder：

   String safeOutput = Encode.forHtml(userInput);
  String safeScript = Encode.forJavaScript(userInput);

• 設(shè)置內(nèi)容安全策略（CSP）
  通過HTTP 響應(yīng)頭限制可執(zhí)行腳本的來源：

   Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

• 避免內(nèi)聯(lián)腳本和eval()
  盡量使用外部JS 文件，禁止使用eval() 、 innerHTML拼接用戶內(nèi)容。

4. 驗(yàn)證與保護(hù)輸入輸出（輸入驗(yàn)證與輸出清理）

所有來自客戶端的數(shù)據(jù)都應(yīng)視為不可信。

實(shí)施要點(diǎn)：

• 統(tǒng)一輸入驗(yàn)證層
  在控制器或服務(wù)層對所有請求參數(shù)進(jìn)行校驗(yàn)，可使用Bean Validation（JSR-380）：

   public class UserForm {
      @NotBlank
      @Email
      private String email;
  
      @Size(min = 6, max = 20)
      private String password;
  }

• 限製文件上傳類型與大小

  • 檢查文件擴(kuò)展名和MIME 類型（不要僅依賴前端）
  • 將上傳文件保存在Web 根目錄之外
  • 掃描文件是否含惡意內(nèi)容

• 避免路徑遍歷
  不要直接使用用戶輸入作為文件路徑。校驗(yàn)路徑是否在允許範(fàn)圍內(nèi)：

   Path baseDir = Paths.get("/safe/upload/dir").toAbsolutePath();
  Path userFile = Paths.get(inputFilename).toAbsolutePath();
  if (!userFile.startsWith(baseDir)) {
      throw new IllegalArgumentException("Invalid file path");
  }

5. 安全配置與依賴管理

很多漏洞源於錯(cuò)誤配置或使用了有漏洞的第三方庫。

注意事項(xiàng)：

• 定期更新依賴庫
  使用Maven/Gradle 插件檢查依賴漏洞，如：

   <!-- Maven OWASP Dependency-Check -->
  <plugin>
      <groupId>org.owasp</groupId>
      <artifactId>dependency-check-maven</artifactId>
      <version>8.5.0</version>
      <executions>
          <execution>
              <goals>
                  <goal>check</goal>
              </goals>
          </execution>
      </executions>
  </plugin>

• 關(guān)閉調(diào)試信息與堆棧追蹤
  生產(chǎn)環(huán)境中禁用詳細(xì)的錯(cuò)誤頁面，避免洩露系統(tǒng)信息。

• 配置安全響應(yīng)頭
  添加以下HTTP 安全頭：

   X-Content-Type-Options: nosniff
  X-Frame-Options: DENY
  Strict-Transport-Security: max-age=31536000; includeSubDomains

6. 訪問控制與權(quán)限校驗(yàn)

即使用戶已登錄，也必須檢查其是否有權(quán)執(zhí)行操作。

最佳實(shí)踐：

• 實(shí)施基於角色的訪問控制（RBAC）
  使用Spring Security 的@PreAuthorize註解：

   @PreAuthorize("hasRole('ADMIN')")
  @DeleteMapping("/users/{id}")
  public ResponseEntity<?> deleteUser(@PathVariable Long id) { ... }

• 每次請求都做權(quán)限檢查
  即使前端隱藏了按鈕，後端仍需驗(yàn)證當(dāng)前用戶是否能訪問該資源（防止越權(quán)訪問）。

• 避免直接暴露數(shù)據(jù)庫ID
  考慮使用UUID 或間接引用，減少ID 猜測風(fēng)險(xiǎn)。

基本上就這些核心要點(diǎn)。安全不是一次性的任務(wù)，而是貫穿開發(fā)、測試、部署全過程的習(xí)慣。只要在編碼時(shí)多想一步，就能避免大多數(shù)常見漏洞。

以上是Java Web應(yīng)用程序的安全編碼指南的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！