33、应用程序安全防护指南

应用程序安全防护指南

在开发应用程序时，确保其安全性至关重要。本文将详细介绍应用程序安全防护的多个方面，包括数据绑定、输出转义、CSRF 防护以及数据传输加密等内容。

1. 数据绑定安全问题

在 2012 年，GitHub 网站遭受了一次基于 Ruby on Rails 框架已知漏洞的攻击。攻击者利用了框架中的大规模赋值特性，在 Grails 中也存在类似情况，例如new Post(params)这样的代码。这种数据绑定方式会盲目地将参数值复制到目标域实例的属性中，攻击者可以为不应该被修改的属性提供值。

假设 Hubbub 的帖子需要审核，我们在Post域类中添加了一个moderated标志，初始值为false，并且创建新帖子的页面没有设置该标志的选项。但攻击者可以使用telnet等工具发送自定义的 HTTP POST 请求，例如：

POST /hubbub/post/update/13 HTTP/1.1 Host: localhost:8080 Content-Type: application/x-www-form-urlencoded content=You+all+suck!&moderated=1

如果处理该请求的控制器动作如下：

class PostController { ...