系统加密服务
需求背景
我们公司因为要紧急对系统进行安全加密,以前系统都是参数暴漏的,能够直接获取操作链接等数据,为防止系统关键数据被窃取,系统要进行全面加密,时间只有一个月,上级部门要来进行检查,因涉及到多个系统,上万个页面不能一个一个页面进行加密,特需要一套框架来支持。
需要实现的功能
- 对后端透明 后端不需要该任何代码
- 对前端透明 前端不需要或者最好不改代码
- 实现表单放重复提交
- 实现重放攻击拦截
- 实现XSS 脚本跨站攻击
实现方案
我们系统的讨论了一周时间实现方案如下
- 通过JS 监听ajax 请求和form表单请求 并对请求的数据进行加密
- 通过继承HttpServletRequestWrapper 实现参数解析以及XSS防注入
- 使用拦截器搭配注解实现表单放重复提交
- 在提交的JS中加入时间戳的方式配合拦截器和注解实现防重放攻击
总体实现方案
加密方式
- 前台数据通过JS对form表单以及AJAX数据进行加密
- 要兼容一些校验框架
- 加密数据需要加入时间戳用于后台检查是否解密成功以及其他用处
- 后台得到加密的数据进行解密
- 通过重写HttpServletRequestWrapper 和OncePerRequestFilter 来实现
- 如果是AJAX提交可能需要PYLOAD形式通过流的形式进行解析
表单防重
- 通过TOKEN形式来实现,网上很多实现,这里不多说了
XXS防跨站脚本攻击
- 通过将参数中的html代码转义来实现
对应的JS加密和Java解密的资源可以查看下载