HDIV简介一个简单又强大的安全框架

惯例

官方纯英文档&＃xff1a;https://hdivsecurity.com/technical-documentation/doc.html

简介

以简单地定义HDIV作为Java Web应用安全框架&＃xff0c;其控制服务器和客户端之间的通信&＃xff0c;避免了许多的常见的网络风险。 HDIV通过增加安全功能&＃xff0c;维护API和框架规范扩展Web应用程序。这意味着我们可以在Spring MVC&＃xff0c;Grails&＃xff0c;JSTL&＃xff0c;Struts1.x中&＃xff0c;以及Struts2.x和JSF以透明的方式对程序员开发的应用程序使用HDIV&＃xff0c;不添加任何复杂应用程序的开发。

添加到Web应用程序的安全特征如下&＃xff1a;

完整性&＃xff1a;由服务器生成的所有数据&＃xff0c;不应由客户端进行修改,HDIV保证其完整性&＃xff08;包含链接&＃xff0c;隐藏字段&＃xff0c;组合值&＃xff0c;单选按钮&＃xff0c;目的地页等&＃xff09;。在HDIV中这种数据被称为不可编辑的数据。得益于此&＃xff0c;HDIV有助于消除大多数基于参数篡改漏洞。

可编辑数据验证&＃xff1a;验证可编辑是来自文本框和文本区域字段的表单中的数据。换句话说&＃xff0c;它是来自客户端的新数据&＃xff0c;默认状态是不可信数据。 HDIV在很大程度上消除跨站点脚本&＃xff08;XSS&＃xff09;攻击&＃xff0c;SQL注入攻击的风险。

保密&＃xff1a;HDIV保证了不可编辑数据的机密性。通常要发送到客户端的数据的中具有用于攻击诸如数据库登记标识符&＃xff0c;列或表名称&＃xff0c;网页目录等信息&＃xff0c;都会由HDIV隐藏以避免它们被恶意使用。例如这种类型的url&＃xff0c;

http://www.host.com?data1&＃61;12


会被替换为

http://www.host.com?data1&＃61;0


保证代表数据库标识符的机密性。

防跨站请求伪造&＃xff08;CSRF&＃xff09;标记&＃xff1a;在需要的请求中添加一个随机令牌&＃xff0c;会自动添加到html代码中&＃xff0c;这样的请求发出后hdiv都会验证该令牌的可用性&＃xff0c;是否与注册的令牌一致&＃xff0c;不一致就会阻止该请求继续发起。