- 浏览: 666741 次
- 性别:
- 来自: 长沙
文章分类
- 全部博客 (364)
- quick start (57)
- bboss aop (43)
- bboss mvc (48)
- bboss persistent (96)
- bboss taglib (30)
- bboss event (10)
- bbossgroups (52)
- bboss (32)
- bboss会话共享 (17)
- bboss rpc (7)
- bboss 国际化 (5)
- bboss 序列化 (9)
- bboss cxf webservice (8)
- bboss hessian (3)
- bboss 安全认证SSO (15)
- bboss 工作流 (6)
- 平台 (18)
- bboss quartz (3)
- 杂谈 (5)
- 大数据 (1)
- bboss elastic (24)
- bboss http (1)
- bboss kafka (1)
- Elasticsearch Scroll和Slice Scroll查询API使用案例 (1)
最新评论
-
qianhao123:
...
采用gradle构建和发布bboss方法介绍 -
qianhao123:
[img][/img]
采用gradle构建和发布bboss方法介绍 -
yin_bp:
欢迎大家参与working
高性能elasticsearch ORM开发库使用介绍 -
qq641879434:
万分感谢
bboss 持久层sql xml配置文件编写和加载方法介绍 -
yin_bp:
qq641879434 写道怎么设置配置文件 可以查看执行的S ...
bboss 持久层sql xml配置文件编写和加载方法介绍
本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置
首先看一个完整的过滤器配置:
过滤器中涉及到的跨站攻击配置参数有:
参数含义说明:
refererDefender 是否启用跨站攻击防御功能,true启用,false关闭,默认关闭
refererwallwhilelist 配置跨站访问白名单, 开启跨站攻击防御功能后,必须将允许跨站访问的可信域名配置到白名单中,否则不允许被不可信的域名访问。白名单配置规则:多个域名用逗号分隔,域名中可以并只能包含一个*号通配符,多于的*号直接被忽略。
过滤器中涉及到的脚本攻击配置参数有:
参数含义说明:
wallfilterrules 配置参数中非法的过滤词,多个用逗号分隔,只要请求参数包含其中的任意一个过滤词,即为非法请求参数,参数值将被清空。
wallwhilelist 配置不需要检测过滤词的参数名称列表,也就是白名单列表,多个用逗号分隔,出现在这个清单中的参数名称不接收wallfilterrules规则扫描。
首先看一个完整的过滤器配置:
<filter> <filter-name>CharsetEncoding</filter-name> <filter-class>com.frameworkset.common.filter.SessionCharsetEncodingFilter</filter-class> <init-param> <param-name>RequestEncoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>ResponseEncoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>mode</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>checkiemodeldialog</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>refererDefender</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>refererwallwhilelist</param-name> <param-value>*.bboss.com.cn,http://*.referer.ibm.com</param-value> </init-param> <init-param> <param-name>wallfilterrules</param-name> <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D,[window['location'],{valueOf:alert},{toString:alert},[window["location"],new Function(]]> </param-value> </init-param> <init-param> <param-name>wallwhilelist</param-name> <param-value><![CDATA[content,fileContent,extfieldvalues,questionString]]> </param-value> </init-param> </filter> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>*.jsp</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>*.frame</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>*.page</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>*.freepage</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>/cxfservices/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>/jasperreport/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>/druid/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>CharsetEncoding</filter-name> <url-pattern>/Kaptcha.jpg</url-pattern> </filter-mapping>
过滤器中涉及到的跨站攻击配置参数有:
<init-param> <param-name>refererDefender</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>refererwallwhilelist</param-name> <param-value>*.bboss.com.cn,http://*.referer.ibm.com</param-value> </init-param>
参数含义说明:
refererDefender 是否启用跨站攻击防御功能,true启用,false关闭,默认关闭
refererwallwhilelist 配置跨站访问白名单, 开启跨站攻击防御功能后,必须将允许跨站访问的可信域名配置到白名单中,否则不允许被不可信的域名访问。白名单配置规则:多个域名用逗号分隔,域名中可以并只能包含一个*号通配符,多于的*号直接被忽略。
过滤器中涉及到的脚本攻击配置参数有:
<init-param> <param-name>wallfilterrules</param-name> <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D,[window['location'],{valueOf:alert},{toString:alert},[window["location"],new Function(]]> </param-value> </init-param> <init-param> <param-name>wallwhilelist</param-name> <param-value><![CDATA[content,fileContent,extfieldvalues,questionString]]> </param-value> </init-param>
参数含义说明:
wallfilterrules 配置参数中非法的过滤词,多个用逗号分隔,只要请求参数包含其中的任意一个过滤词,即为非法请求参数,参数值将被清空。
wallwhilelist 配置不需要检测过滤词的参数名称列表,也就是白名单列表,多个用逗号分隔,出现在这个清单中的参数名称不接收wallfilterrules规则扫描。
发表评论
-
bboss ioc快速入门教程
2017-08-13 11:28 1194bboss是一个非常不错的ioc框架,功能类似于spr ... -
bboss kafka组件使用介绍
2017-07-22 14:03 1244bboss kafka组件使用介绍 本文使用的实例对应的gra ... -
bboss log4j滚动日志文件扩展插件使用介绍
2017-06-25 11:05 1370bboss扩展了log4j滚动切割文件插件org.apache ... -
bboss redis组件使用实例
2017-03-04 16:57 1101在工程中导入bboss redis组件 gradle comp ... -
bboss 与ecipse gradle buildship插件结合使用方法
2017-02-23 09:48 1138本文介绍bboss 与ecipse gradle builds ... -
如何快速高效地开发和调试基于gradle管理的web应用
2016-09-28 23:39 1389本文探讨如何高效快速地开发和调试基于gradle管理的web应 ... -
bboss wordpdf构建部署介绍
2016-09-02 15:47 511bboss wordpdf构建部署介绍 下载 源码下载地址: ... -
bboss gradle工程导入eclipse介绍
2016-07-24 14:01 2830bboss gradle工程导入eclipse介绍(本文适用于 ... -
采用gradle构建和发布bboss方法介绍
2016-05-01 23:23 4431采用gradle构建和发布bboss版本及从maven中央库下 ... -
bboss 令牌和凭证redis存储机制配置
2016-03-29 20:42 1316bboss 提供了四种令牌和凭证存储机制: 内存 不能在集 ... -
bboss 票据实现系统SSO功能介绍
2016-03-10 16:50 1597测试环境应用账号: app ... -
bboss文件缓存组件FileContentCache介绍
2016-02-27 15:23 634bboss文件缓存组件FileContentCache介绍 ... -
bboss自动代码生成工具使用指南
2015-11-15 21:09 9959本文介绍bboss自动代码生成工具使用方法 工具在线试用: ... -
bboss应用程序运行容器使用介绍
2015-06-22 16:15 1851bboss微服务运行容器使 ... -
bboss框架配置监控介绍
2015-01-12 14:26 1581bboss框架配置监控介绍 ... -
平台自定义资源权限控制使用方法
2014-10-23 11:17 1587本文以一个简单的实例来介绍bboss平台自定义资源权限控制使用 ... -
bboss开发、模块工程目录结构及功能说明
2014-10-15 19:46 4704基于bboss开发项目说明 ... -
平台登录账号口令加密机制设置方法
2014-10-13 16:35 1083平台登录账号口令加密机制设置方法 平台加密机制: ... -
bboss安全认证过滤器认证后重定向到请求页面功能介绍
2014-10-12 10:55 1255本文介绍bboss安全认证 ... -
bboss最佳实践gradle工程清单及其作用介绍
2014-09-27 09:13 2145基于bboss开发项目说明 ...
相关推荐
bboss会话共享培训文档,学习bboss不可多得的资料,值得拥有。
bboss es特点请访问: https://www.oschina.net/p/bboss-elastic
NULL 博文链接:https://yin-bp.iteye.com/blog/1528721
企业级 J2EE 开源框架:bboss
NULL 博文链接:https://yin-bp.iteye.com/blog/2325602
资源目录: 项目源码(eshelloword.rar) bboss elasticsearch开发入门教程.wmv 搭建bboss elasticsearch开发环境.wmv 说明.txt
bboss+es基本操作示例,elasticsearch,bboss,java使用demo
NULL 博文链接:https://yin-bp.iteye.com/blog/926166
基于bboss新版平台项目环境搭建和代码工具使用视频教程
springboot集成ElasticsearchBboss调用Elasticsearch的案例分享
官方版本,亲测可用
bboss-datatran 由 bboss 开源的数据采集&流批一体化工具,提供数据采集、数据清洗转换处理和数据入库以及数据指标统计计算流批一体化处理功能。
Elasticsearch rest client bboss介绍-Elastic2018中国开发者大会演讲稿
NULL 博文链接:https://yin-bp.iteye.com/blog/2174863
NULL 博文链接:https://yin-bp.iteye.com/blog/2177475
浙江移动BBOSS系统快速入门手册V0.1归类.pdf
本实例是一个基于bboss es spring boot starter的demo maven工程,可供spring boot项目集成bboss elasticsearch rest client参考 展示了通过spring boot管理单集群功能和管理多集群功能 单集群测试用例:...