使用諸如Spring Security之類的安全框架進(jìn)行身份驗(yàn)證，CSRF保護(hù)和會話管理。 2。使用BEAN驗(yàn)證和輸出編碼來驗(yàn)證和消毒所有輸入，以防止注入和XS。 3。通過使用安全的編碼實(shí)踐和安全標(biāo)頭，防止XSS，SQL注入，CSRF，IDOR和錯誤配置等常見漏洞。 4.使用強(qiáng)大的哈希，MFA，安全的cookie和短時(shí)間內(nèi)實(shí)施安全的身份驗(yàn)證和會話管理。 5。使用TLS，HST和強(qiáng)密碼執(zhí)行HTTP，以進(jìn)行安全通信。 6.使用RBAC或ABAC應(yīng)用適當(dāng)?shù)脑L問控件，並在所有端點(diǎn)上進(jìn)行授權(quán)檢查。 7。通過掃描漏洞並在外部管理秘密來安全依賴和配置。 8.使用集中式記錄和警報(bào)，在沒有記錄敏感數(shù)據(jù)的情況下，記錄和監(jiān)視安全事件。 9.通過代碼審查，靜態(tài)分析和滲透測試進(jìn)行定期安全測試。 10。將JVM，框架和服務(wù)器保留使用最新的安全補(bǔ)丁，以防止已知漏洞。確保Java Web應(yīng)用程序需要在所有層次上進(jìn)行持續(xù)的努力，從一個堅(jiān)實(shí)的框架開始，並遵循永不信任的原則，總是驗(yàn)證。

在Java中確保Web應(yīng)用程序涉及多層保護(hù) - 從輸入驗(yàn)證到身份驗(yàn)證和安全部署。以下是要遵循的關(guān)鍵實(shí)踐，分解為基本領(lǐng)域：

1。使用安全框架（例如彈簧安全）

從經(jīng)過戰(zhàn)鬥測試的安全框架開始。春季安全性是Java生態(tài)系統(tǒng)中最廣泛使用的安全性，並為：

• 身份驗(yàn)證和授權(quán)
• CSRF保護(hù)
• 會話管理
• OAuth2和OpenID連接
• 方法級安全性

示例：啟用具有最小配置的Spring Boot中的基本安全性：

 @配置
@enablewebsecurity
公共類SecurityConfig {

    @豆
    公共安全縮鏈過濾鏈（HTTPSECURITY HTTP）拋出異常{
        http
            .authorizeHttpRequests(authz -> authz
                .RequestMatchers（“/public/**”）。許可證（）
                .anyRequest（）。驗(yàn)證（）
            ）
            .formlogin（wresDefaults（））
            .httpbasic（withDefaults（））;
        返回http.build（）;
    }
}

始終保持框架依賴性更新，以避免已知的漏洞。

2。驗(yàn)證和消毒所有輸入

永遠(yuǎn)不要相信用戶輸入。在客戶端和服務(wù)器側(cè)面驗(yàn)證和消毒數(shù)據(jù)。

• 使用bean驗(yàn)證（JSR 380）和@NotNull ， @Size ， @Pattern等註釋
• 消毒輸入的輸入，進(jìn)入HTML，SQL或OS命令
• 拒絕畸形或可疑有效載荷

例子：

公共類用戶form {
    @notblank
    @電子郵件
    私人字符串電子郵件；

    @Size（min = 6，max = 100）
    私人字符串密碼；
}

另外，使用Owasp Java編碼器或JSOUP之類的庫來逃避輸出並防止XSS。

3。防止常見的網(wǎng)絡(luò)漏洞

請注意OWASP前十名並對其進(jìn)行介紹：

• 跨站點(diǎn)腳本（XSS） ：使用正確編碼（例如，HTML，JavaScript，URL編碼）逃脫輸出。
• SQL注入：使用已準(zhǔn)備好的語句或與參數(shù)化查詢的JPA/Hibernate - 永遠(yuǎn)不會連接SQL。
• CSRF ：啟用CSRF保護(hù)（默認(rèn)情況下，Spring Security對狀態(tài)應(yīng)用程序執(zhí)行此操作）。
• 不安全的直接對象參考（idor） ：對每個請求執(zhí)行授權(quán)檢查。
• 安全性錯誤配置：禁用調(diào)試模式，隱藏服務(wù)器標(biāo)語並使用安全的標(biāo)題。

通過過濾器或框架配置添加安全標(biāo)頭：

 http.headers（）。 contentsecuritypolicy（“ default-src'self'”）;

4。安全身份驗(yàn)證和會話管理

• 使用強(qiáng)密碼策略和BCRYPT/Argon2進(jìn)行哈希（永不存儲純文本）。
• 為敏感應(yīng)用程序?qū)崿F(xiàn)多因素身份驗(yàn)證（MFA） 。
• 設(shè)置安全的會話cookie：

 http.SessionManagement（會話 - >會話
    .invalidsessionurl（“/登錄？已過期”）
    .sessionfixation（）。遷移（）
）
.cookieconfig（cookie-> cookie
    .secure（true）//僅https
    .httponly（true）//無法通過JavaScript訪問
    .samesite（“嚴(yán)格”）//防止CSRF
）；

• 設(shè)置簡短的會話超時(shí)，並允許管理員撤銷會議。

5。使用https和安全通信

• 始終在生產(chǎn)中使用TLS（HTTP） 。
• 將HTTP重定向到HTTP。
• 使用強(qiáng)密碼，並保持您的Java TrustStore更新。
• 考慮HST（HTTP嚴(yán)格運(yùn)輸安全）：

 http.headers（）。 httptricttricttransportsecurity（）
    .maxageinseconds（31536000）
    .compludesubdomains（true）;

6。應(yīng)用適當(dāng)?shù)脑L問控件

• 使用基於角色的（RBAC）或基於屬性的（ABAC）訪問控制。
• 在每個端點(diǎn)上執(zhí)行檢查：

 @preauthorize（“ hasrole（'admin'）”）
public void deleteuser（長ID）{...}

• 避免水平/垂直特權(quán)升級。

7。安全依賴和配置

• 使用OWASP依賴性檢查或SNYK等工具來掃描脆弱的庫。
• 從不硬碼秘密（密碼，API鍵）。使用：
  • 環(huán)境變量
  • 外部配置服務(wù)器（例如Hashicorp Vault）
  • 帶加密的春季雲(yún)配置

application.yml中的示例：

春天：
  數(shù)據(jù)源：
    密碼：$ {db_password}

8。日誌和監(jiān)視安全事件

• 日誌身份驗(yàn)證嘗試，訪問拒絕和特權(quán)動作。
• 避免記錄敏感數(shù)據(jù)（密碼，令牌）。
• 使用集中記錄（例如，麋鹿，splunk）並設(shè)置警報(bào)。

例子：

 logger.warn（“用戶的登錄失敗嘗試：{}”，用戶名）;

9。定期安全測試

• 以安全重點(diǎn)執(zhí)行代碼評論。
• 運(yùn)行靜態(tài)分析工具（例如Sonarqube，帶安全插件的點(diǎn)蟲）。
• 進(jìn)行穿透測試和DAST掃描（例如OWASP ZAP）。
• 快速修復(fù)漏洞並在CVE數(shù)據(jù)庫中跟蹤它們。

10。保持JVM和服務(wù)器更新

• 運(yùn)行最新的Java版本（最好是帶有安全補(bǔ)丁的LTS）。
• 使用安全經(jīng)理（如果適用）和安全java.security設(shè)置來硬化JVM。
• 保持您的應(yīng)用程序服務(wù)器（Tomcat，Jetty等）更新和最小。

確保Java Web應(yīng)用程序不是一次性任務(wù)，而是正在進(jìn)行。從一個可靠的框架開始，驗(yàn)證所有內(nèi)容，使用HTTPS，安全地管理會話並保持更新。大多數(shù)違規(guī)發(fā)生是由於已知的問題所致。

基本上，遵循以下原則：永遠(yuǎn)不要相信，始終驗(yàn)證。

以上是如何在Java中保護(hù)Web應(yīng)用程序？的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！