[发明专利]Web安全防护方法

说明书

本发明提供一种Web安全防护方法，包括以下步骤：引入安全组件，其中，安全组件为Jar包，Jar包中的LimitWordUtil脱敏工具类中包含多个过滤方法，SecurityRequestWrapper类中包含多个获取请求对象的请求内容的方法，每个获取请求对象的请求内容的方法在返回结果前均先调用多个过滤方法；在有外部请求时，通过SecurityFilter类拦截指定的请求，判定是否为白名单请求，如果为非白名单请求，则使用SecurityRequestWrapper类对请求对象进行重新包装；将包装后的请求对象传回SecurityFilter类的过滤器链中。

技术领域

本发明涉及Web安全技术领域，具体涉及一种Web安全防护方法。

背景技术

随着近些年互联网技术的飞速发展，及国内国际的环境变化及网络安全要求，各企事业单位都越来越重视网络安全的建设。除了硬件与网络层面的安全建设外，对Web应用服务也提出了许多安全要求，使得我们开发人员不得不在项目建设中考虑各种Web安全因素的处理，常见的有Xss(Cross Site Scripting，跨站脚本攻击)跨站脚本、SQL(Structured Query Language，结构化查询语言)注入、敏感信息泄露等。

目前的开发框架中，尚没有特别好的安全防护加固部件，基本上都还是由各项目的开发人员在具体的项目中，针对特定的安全问题进行硬编码解决。特别是对历史遗留项目，要进行Web安全防护加固，就更加困难。

此种在各项目中硬编码方式来处理安全问题，存在诸多弊端。如：1、项目开发人员，不仅要关心业务需求的实现，还要兼顾安全防护问题。造成了项目开发人员的精力分散。2、由于各项目团队人员的技术能力水平，及对安全问题的认识程度不同，在实际项目安全加固开发中，存在解决了A漏洞，又暴露出B漏洞的问题。项目团队不断的纠缠里安全扫描与漏洞修复的反复过程中，给甲方很不好的感知，也暴露了很多安全隐患。3、由于各项目自行维护各自的安全问题，没能集中力量合力解决各种安全问题，造成在多个项目或功能中重复安全加固的人力浪费。

发明内容

本发明为解决上述技术问题，提供了一种Web安全防护方法，能够方便、有效地实现Web安全防护，且兼容性、通用性较强。

本发明采用的技术方案如下：

一种Web安全防护方法，包括以下步骤：引入安全组件，其中，所述安全组件为Jar包，所述Jar包中包含LimitWordUtil脱敏工具类、WordBankUtil词库处理类、SecurityRequestWrapper类和SecurityFilter类，所述LimitWordUtil脱敏工具类中多个过滤方法，所述WordBankUtil词库处理类实现词库文件的读取，所述SecurityRequestWrapper类中包含多个获取请求对象的请求内容的方法，每个获取请求对象的请求内容的方法在返回结果前均先调用所述多个过滤方法；在有外部请求时，通过所述SecurityFilter类拦截指定的请求，判定是否为白名单请求，如果为非白名单请求，则使用所述SecurityRequestWrapper类对请求对象进行重新包装；将包装后的请求对象传回所述SecurityFilter类的过滤器链中。

所述LimitWordUtil脱敏工具类还包含自定义词库的加载，所述LimitWordUtil脱敏工具类中包含的多个过滤方法包括供Xss风险字符过滤方法、Sql注入风险字符过滤方法和敏感词过滤方法。

在引入所述安全组件时，还引入相应的配置文件，所述配置文件包含风险字符库和敏感词库。

所述SecurityRequestWrapper类是继承javax.servlet.http.HttpServletRequestWrapper自定义创建的，在自定义创建所述SecurityRequestWrapper类时重写多个获取请求对象的请求内容的方法。