使用PreparedStatement防止SQL注入，避免執(zhí)行用戶(hù)輸入的表達(dá)式，對(duì)輸入進(jìn)行白名單驗(yàn)證；2. 采用Spring Security等成熟框架管理認(rèn)證，密碼使用bcrypt等強(qiáng)哈希存儲(chǔ)，設(shè)置HttpOnly、Secure的Cookie并重新生成會(huì)話(huà)ID；3. 輸出時(shí)使用OWASP Java Encoder進(jìn)行HTML、JavaScript上下文編碼，設(shè)置CSP頭限制腳本來(lái)源，禁止內(nèi)聯(lián)腳本和eval()；4. 在服務(wù)端統(tǒng)一驗(yàn)證輸入，使用JSR-380注解校驗(yàn)參數(shù)，限制文件上傳類(lèi)型與大小，校驗(yàn)文件路徑防止路徑遍歷；5. 使用OWASP Dependency-Check定期掃描依賴(lài)漏洞，生產(chǎn)環(huán)境關(guān)閉調(diào)試信息，配置X-Content-Type-Options、X-Frame-Options、HSTS等安全響應(yīng)頭；6. 使用@PreAuthorize實(shí)現(xiàn)RBAC權(quán)限控制，后端每次請(qǐng)求均校驗(yàn)權(quán)限，避免直接暴露數(shù)據(jù)庫(kù)ID，推薦使用UUID。安全需貫穿開(kāi)發(fā)全流程，遵循上述規(guī)范可有效防范常見(jiàn)漏洞，保障Java Web應(yīng)用安全。

編寫(xiě)安全的 Java Web 應(yīng)用程序是防止數(shù)據(jù)泄露、服務(wù)中斷和惡意攻擊的關(guān)鍵。隨著 Web 應(yīng)用日益復(fù)雜，開(kāi)發(fā)人員必須遵循一系列安全編碼規(guī)范，以降低安全風(fēng)險(xiǎn)。以下是針對(duì) Java Web 應(yīng)用的實(shí)用安全編碼指南，涵蓋常見(jiàn)漏洞和最佳實(shí)踐。

1. 防止注入攻擊（SQL、命令、表達(dá)式注入）

注入是 OWASP Top 10 中長(zhǎng)期位居前列的漏洞類(lèi)型。攻擊者通過(guò)構(gòu)造惡意輸入來(lái)操控后端邏輯。

關(guān)鍵措施：

• 使用預(yù)編譯語(yǔ)句（PreparedStatement）
  避免拼接 SQL 字符串，始終使用 PreparedStatement 和參數(shù)占位符：

  String sql = "SELECT * FROM users WHERE username = ?";
  try (PreparedStatement pstmt = connection.prepareStatement(sql)) {
      pstmt.setString(1, username);
      ResultSet rs = pstmt.executeQuery();
  }

• 避免動(dòng)態(tài)執(zhí)行 EL 表達(dá)式或 OGNL
  不要使用 javax.el.ELProcessor 或類(lèi)似機(jī)制執(zhí)行用戶(hù)輸入的表達(dá)式。

  

• 輸入驗(yàn)證與白名單過(guò)濾
  對(duì)所有用戶(hù)輸入進(jìn)行校驗(yàn)，使用白名單限制允許的字符或格式。

2. 正確處理身份認(rèn)證與會(huì)話(huà)管理

身份認(rèn)證是訪(fǎng)問(wèn)控制的第一道防線(xiàn)，不當(dāng)實(shí)現(xiàn)可能導(dǎo)致賬戶(hù)劫持。

建議做法：

• 使用成熟的認(rèn)證框架
  優(yōu)先使用 Spring Security、Apache Shiro 等成熟框架，避免自行實(shí)現(xiàn)登錄邏輯。

• 安全存儲(chǔ)密碼
  永遠(yuǎn)不要明文存儲(chǔ)密碼。使用強(qiáng)哈希算法（如 bcrypt、PBKDF2、Argon2）：

  // 使用 Spring Security 的 PasswordEncoder
  @Autowired
  private PasswordEncoder passwordEncoder;
  
  String hashedPassword = passwordEncoder.encode(rawPassword);

• 安全管理會(huì)話(huà)

  • 設(shè)置會(huì)話(huà)超時(shí)時(shí)間（如 30 分鐘無(wú)操作）

  • 使用安全的 Cookie 屬性：

    Cookie cookie = new Cookie("JSESSIONID", sessionId);
    cookie.setHttpOnly(true);     // 防止 XSS 讀取
    cookie.setSecure(true);       // 僅通過(guò) HTTPS 傳輸
    cookie.setPath("/");          // 限制路徑

• 避免固定會(huì)話(huà) ID
  登錄成功后務(wù)必重新生成會(huì)話(huà) ID，防止會(huì)話(huà)固定攻擊。

3. 防御跨站腳本（XSS）

XSS 允許攻擊者在用戶(hù)瀏覽器中執(zhí)行惡意腳本，竊取 Cookie 或冒充用戶(hù)。

防護(hù)策略：

• 輸出編碼
  在將用戶(hù)數(shù)據(jù)輸出到 HTML、JavaScript、URL 上下文時(shí)進(jìn)行適當(dāng)編碼。推薦使用 OWASP Java Encoder：

  String safeOutput = Encode.forHtml(userInput);
  String safeScript = Encode.forJavaScript(userInput);

• 設(shè)置內(nèi)容安全策略（CSP）
  通過(guò) HTTP 響應(yīng)頭限制可執(zhí)行腳本的來(lái)源：

  Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

• 避免內(nèi)聯(lián)腳本和 eval()
  盡量使用外部 JS 文件，禁止使用 eval()、innerHTML 拼接用戶(hù)內(nèi)容。

4. 驗(yàn)證與保護(hù)輸入輸出（輸入驗(yàn)證與輸出清理）

所有來(lái)自客戶(hù)端的數(shù)據(jù)都應(yīng)視為不可信。

實(shí)施要點(diǎn)：

• 統(tǒng)一輸入驗(yàn)證層
  在控制器或服務(wù)層對(duì)所有請(qǐng)求參數(shù)進(jìn)行校驗(yàn)，可使用 Bean Validation（JSR-380）：

  public class UserForm {
      @NotBlank
      @Email
      private String email;
  
      @Size(min = 6, max = 20)
      private String password;
  }

• 限制文件上傳類(lèi)型與大小

  • 檢查文件擴(kuò)展名和 MIME 類(lèi)型（不要僅依賴(lài)前端）
  • 將上傳文件保存在 Web 根目錄之外
  • 掃描文件是否含惡意內(nèi)容

• 避免路徑遍歷
  不要直接使用用戶(hù)輸入作為文件路徑。校驗(yàn)路徑是否在允許范圍內(nèi)：

  Path baseDir = Paths.get("/safe/upload/dir").toAbsolutePath();
  Path userFile = Paths.get(inputFilename).toAbsolutePath();
  if (!userFile.startsWith(baseDir)) {
      throw new IllegalArgumentException("Invalid file path");
  }

5. 安全配置與依賴(lài)管理

很多漏洞源于錯(cuò)誤配置或使用了有漏洞的第三方庫(kù)。

注意事項(xiàng)：

• 定期更新依賴(lài)庫(kù)
  使用 Maven/Gradle 插件檢查依賴(lài)漏洞，如：

  <!-- Maven OWASP Dependency-Check -->
  <plugin>
      <groupId>org.owasp</groupId>
      <artifactId>dependency-check-maven</artifactId>
      <version>8.5.0</version>
      <executions>
          <execution>
              <goals>
                  <goal>check</goal>
              </goals>
          </execution>
      </executions>
  </plugin>

• 關(guān)閉調(diào)試信息與堆棧追蹤
  生產(chǎn)環(huán)境中禁用詳細(xì)的錯(cuò)誤頁(yè)面，避免泄露系統(tǒng)信息。

• 配置安全響應(yīng)頭
  添加以下 HTTP 安全頭：

  X-Content-Type-Options: nosniff
  X-Frame-Options: DENY
  Strict-Transport-Security: max-age=31536000; includeSubDomains

6. 訪(fǎng)問(wèn)控制與權(quán)限校驗(yàn)

即使用戶(hù)已登錄，也必須檢查其是否有權(quán)執(zhí)行操作。

最佳實(shí)踐：

• 實(shí)施基于角色的訪(fǎng)問(wèn)控制（RBAC）
  使用 Spring Security 的 @PreAuthorize 注解：

  @PreAuthorize("hasRole('ADMIN')")
  @DeleteMapping("/users/{id}")
  public ResponseEntity<?> deleteUser(@PathVariable Long id) { ... }

• 每次請(qǐng)求都做權(quán)限檢查
  即使前端隱藏了按鈕，后端仍需驗(yàn)證當(dāng)前用戶(hù)是否能訪(fǎng)問(wèn)該資源（防止越權(quán)訪(fǎng)問(wèn)）。

• 避免直接暴露數(shù)據(jù)庫(kù) ID
  考慮使用 UUID 或間接引用，減少 ID 猜測(cè)風(fēng)險(xiǎn)。

基本上就這些核心要點(diǎn)。安全不是一次性的任務(wù)，而是貫穿開(kāi)發(fā)、測(cè)試、部署全過(guò)程的習(xí)慣。只要在編碼時(shí)多想一步，就能避免大多數(shù)常見(jiàn)漏洞。

以上是Java Web應(yīng)用程序的安全編碼指南的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！