阿里java开发手册学习笔记(四、 安全规约)

最新推荐文章于 2025-05-29 17:53:04 发布
原创 最新推荐文章于 2025-05-29 17:53:04 发布 · 296 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文强调了用户数据安全的重要性,包括权限控制、数据脱敏、SQL参数绑定、输入校验、防止SQL注入、CSRF安全验证、防重放机制及内容违禁词过滤等策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 隶属于用户个人的页面或者功能必须进行权限控制校验。

  2. 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露

  3. 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入,禁止字符串拼接 SQL 访问数据库。

  4. 用户请求传入的任何参数必须做有效性验证。
    忽略参数校验可能导致:
    ⚫ page size 过大导致内存溢出
    ⚫ 恶意 order by 导致数据库慢查询
    ⚫ 任意重定向
    ⚫ SQL 注入
    ⚫ 反序列化注入
    ⚫ 正则输入源串拒绝服务 ReDoS

  5. 禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。

  6. 表单、AJAX 提交必须执行 CSRF 安全验证。

  7. 在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。

  8. 发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略

学习《阿里巴巴JAVA开发手册》之(五)安全规约
good good study, day day up ~
08-21 248
文章目录五、安全规约 五、安全规约
JAVA开发手册华山版 - 学习笔记
码出精彩
07-24 1297
JAVA开发手册华山版关于Java开发手册JAVA开发手册(华山版)下载一、编程规约1. 编程风格2. 常量定义3. 代码格式4. OOP规约5. 集合处理6. 并发处理7. 控制语句8. 注释规约9. 其他二、异常日志1. 异常处理2. 日志规约三、单元测试安全规约五、MySQL数据库1. 建表规约2. 索引规约3. SQL语句4. ORM映射六、工程结构1. 应用分层2. 二方库依赖3. 服务器七、设计规约附2:专有名词解释 最近开始实习,前一两周主要在学习(摸鱼),然后看了一下阿里巴巴的Java
数据库开发与设计规范
S_yellow的博客
06-22 789
1. 引言 1.1 文档目的 本文档明确数据库设计原则和规范,规范数据库对象命名方式,见名知意,强化分工,保证数据库高效稳定运行。 2. 数据库设计原则 充分考虑业务逻辑和数据分离,数据库只作为一个保证ACID特性的关系数据的持久化存储系统,尽量避免使用自定义函数、存储过程、触发器和视图。 充分考虑数据库整体安全设计,数据库管理和使用人员权限分离。 充分考虑具体数据对象的访问频度及性能需求,结合主机、存储等需求,做好数据库性能设计。 充分考虑数据增长模型,决策是否采用“分布式(水平拆分或者垂直拆分)”模式
CSRF是什么
weixin_43523521的博客
12-20 380
CSRF即跨站请求攻击。 简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 其实可以这么理...
Java开发经验——阿里巴巴编码规范实践解析5
最新发布
庄小焱
05-29 1221
这篇文章主要介绍了阿里巴巴Java开发规范中关于安全和性能优化的实践解析。内容涵盖了配置文件密码加密、用户输入内容风控、SQL注入防护、参数有效性验证、XSS攻击防护、CSRF安全验证、文件上传安全检查、防重放机制等多个方面,通过正反示例和推荐做法,为Java开发者提供了详细的安全开发指导。
Java开发手册安全规约
ITwolf的博客
06-07 271
1.【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容。2.【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。说明:中国大陆个人手机号码显示:139****1219,隐藏中间4位,防止隐私泄露。3.【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入,禁止字符串拼接SQL访问数据库。反例:某系统签名大量被恶意修改,即是因为对于危险字符# --没有进行转义,导致数据...
扩展阿里巴巴Java开发规约插件,打造团队专属风格!
2401_84048398的博客
04-21 1095
打开阿里p3c-pmd工程,开始编写我们的自定义规则。阿里已经写了很多规则,我们现在要编写的规则属于面向对象范畴,可以把规则写到opp包下,新建一个规则类MethodParameterCountRule,继承自AbstractAliRule,重写 visit方法:/*** 方法参数列表个数不宜过长*/@Overridetry {// 找到所方法节点// 找到每个方法的参数列表声明。
深入解析阿里巴巴Java开发手册读书笔记
由于本文件为“读书笔记:阿里巴巴java开发手册.zip”,我们可以推断这份文档是对原手册学习笔记或者重点摘要,它可能包含了对原手册内容的个人理解、总结和评论。这些笔记对于快速回顾和掌握手册中的关键点非常有...
阿里巴巴Java开发手册》学习要点及笔记分享
资源摘要信息: "《阿里巴巴Java开发手册》是一份...学习《阿里巴巴Java开发手册》并编写读书笔记,有助于个人对Java编程的深入理解,同时也能够提升自身的软件开发能力,为今后参与更高级别的开发工作打下坚实的基础。
编程规约、异常日志、单元测试、安全规约、工程结构、MySQL 数据库
09-18
以本手册Java 开发者为中心 视角,划分为编程规约、异常日志、单元测试、安全规约、工程结构、MySQL 数据库六 个维度,再根据内容特征,细分成若干二级子目录。根据约束力强弱及故障敏感性, 规约依次分为强制、推荐、参考三大类。
Java开发手册-第安全规约
cc_whale的博客
10-13 681
研读阿里巴巴Java开发手册,第安全规约在我们工程中的实现。 [强制]隶属于用户个人的页面或者功能必须进行权限控制校验 说明:防止没有做水平权限就可随意访问,修改,删除别人的数据,比如查看他人的私信内容、修改他们的订单。 获取登录信息的memberId校验(更新用户地址) 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 memberAddress.getMemberRecipie...
java入职学习一之编码规范
Yzq12312的博客
12-02 1613
编码规范 好的编码规范可以尽可能的减少一个软件的维护成本,并且几乎没有任何一个软件,在其整个生命周期中,均由最初的开发人员来维护。 好的编码规范可以改善软件的可读性,可以让开发人员尽快而彻底地理解新的代码。 好的编码规范可以最大限度的提高团队开发的合作效率。 长期的规范性编码还可以让开发人员养成好的编码习惯,甚至锻炼出更加严谨的思维。 安全规约 通过学习阿里巴巴的《阿里巴巴Java开发手册》和公司视频讲解,返现这七大强制约定和一个推荐约定的对于一个开发人员的良好编码习惯和逻辑思维有着重要的启发和引导作用
Java开发手册(五):安全规约与单元测试
思与学的博客
11-07 956
一、安全规约1. 操作权限隶属于用户个人的页面或者功能必须进行权限控制校验。防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信 内容、修改他人的订单。2. XSS跨站脚本攻击(Cross Site Scripting),可以对用户录入内容进行白名单过滤,去除非法信息。禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。3. CSRFCSRF(Cross-site
编码规约之安全规约
绣花针
03-25 1195
目录 一、强制 1.隶属于用户个人的页面或者功能必须进行权限控制校验 2.用户敏感数据禁止直接展示 3.用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定 4.用户请求传入的任何参数必须做有效性验证 5.禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据 6.表单、AJAX 提交必须执行 CSRF 安全验证 7.在使用平台资源,譬如短信邮件电话...
开发规范-安全规约
maoer95209520的博客
03-19 1681
【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容、修改他人的订单。 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:查看个人手机号码会显示成:1589119,隐藏中间4位,防止隐私泄露。 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入,禁止...
阿里巴巴Java开发手册》阅读笔记
weixin_30553777的博客
03-30 903
1.抽象类命名使用 Abstract 或 Base 开头; 异常类命名使用 Exception 结尾; 测试类命名以它要测试的类的名称开始,以 Test 结尾。 2.POJO 类中布尔类型的变量,都不要加 is,否则部分框架解析会引起序列化错误。 反例: 定义为基本数据类型 boolean isSuccess; 的属性,它的方法也是 is...
阿里巴巴Java开发手册快速学习
weixin_34008805的博客
03-09 331
Java作为一门名副其实的工业级语言,语法友好,学习简单,大规模的应用给代码质量的管控带来了困难,特别是团队开发中,开发过程中的规范会直接影响最终项目的稳定性。 善医者“未有形而除之”,提高工程健壮性最好的方式是在代码出现问题之前就排除掉,不给Bug出现的机会。一份好的开发规范就可以起到这样的作用,大大减少产品上线后的问题。 《阿里巴巴Java开发手...
阿里巴巴Java开发手册:泰山版精华解读
"阿里巴巴Java开发手册--泰山版.pdf" 阿里巴巴的《Java开发手册》是业界广泛采用的技术指导文档,它汇集了阿里巴巴技术团队的经验和智慧,并且得到了社区开发者们的积极参与和贡献,形成了泰山版。该手册关注现代...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

计忆芳华

制作不易,欢迎打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值