1、输入验证:路径遍历

  • 修改意见:使用 Hutool 工具中的 FileUtil解决文件路径问题
import cn.hutool.core.io.FileUtil;

File file = FileUtil.newFile(path);

2、输入验证:重定向

  • 修改意见:使用 UriComponentsBuilder 类构建安全的 URL
import org.springframework.web.util.UriComponentsBuilder;

private String getUrl(String baseUrl, String param) {
    return UriComponentsBuilder
            .fromUriString(baseUrl)
            .queryParam("param", param)
            .build()
            .toUri()
            .toString();
}

  • 修改意见:使用 URL 校验输入的url字符串是否安全可靠


try {
    new java.net.URL(urlStr);
} catch (Exception ex) {
    // url存在问题的话,会抛出异常
}

3、跨站脚本:反射型XSS

  • 修改意见:不要直接给前端返回前端传到后端的数据对象VO
# xss # java
Logo
技术共进,成长同行——讯飞AI开发者社区

技术共进,成长同行——讯飞AI开发者社区

更多推荐

cover

PHP与人工智能:结合案例与可能性探索

avatar 讯飞AI开发者社区

上下文工程驱动智能体向 通用人工智能

例如在文章开头,我们举的产品经理和工程师之间的那一段对话,一个高质量智能体,不再只是让大模型回答用户的问题,而是通过上下文工程,帮助大模型在回答前获得更加结构化的输入,包括项目状态、需求文档、任务历史、甚至团队氛围,实现大模型更好的理解当前的任务规划、团队过往的沟通隐患、对方的工作状态与担忧、文档/知识库的实时状态等等。这和我们维护我们手机上内存很像,一开始所有应用和历史信息都保留,但当手机出现运

avatar 讯飞AI开发者社区
cover

智能体(Agent)的记忆架构:深入解析短期记忆与长期记忆

avatar 讯飞AI开发者社区