那么最基本的权限分为两种：数据权限与功能权限。

1，在javaweb的开发当中，对于权限的开发解决方案有 spring的shiro，

还有spring的security。

2，可以自己做拦截器，对于session的验证，不绕过session的话，基本就取不到任何功能

3，如果别人做了session,或者绕过session，或者就用弱权限的seesion请求高级权限的数据，那么对于自己的简单权限，可以写过滤器，每做一个链接请求数据的接口 都记录到自己数据库

设置对应的人，然后每次请求的时候，都会去session里面取到对应的人的信息，跟数据库的接口url做比对。

虽然Java是一门相对比较简单的编程语言，但是对于初学者， 还是有很多东西感觉云里雾里，

理解的不是很清晰。内部类就是一个经常让初学者感到迷惑的特性。 即使现在我自认为Java学的不错了，

但是依然不是很清楚。其中一个疑惑就是为什么内部类对象可以访问外部类对象中的成员（包括成员变量和成员方法）？

早就想对内部类这个特性一探究竟了，今天终于抽出时间把它研究了一下。

内部类就是定义在一个类内部的类。定义在类内部的类有两种情况：一种是被static关键字修饰的， 叫做静态内部类，

另一种是不被static关键字修饰的， 就是普通内部类。 在下文中所提到的内部类都是指这种不被static关键字修饰的普通内部类。

静态内部类虽然也定义在外部类的里面， 但是它只是在形式上（写法上）和外部类有关系，

其实在逻辑上和外部类并没有直接的关系。而一般的内部类，不仅在形式上和外部类有关系（写在外部类的里面）， 在逻辑上也和外部类有联系。

这种逻辑上的关系可以总结为以下两点：

1 内部类对象的创建依赖于外部类对象；

2 内部类对象持有指向外部类对象的引用。

上边的第二条可以解释为什么在内部类中可以访问外部类的成员。就是因为内部类对象持有外部类对象的引用。但是我们不禁要问， 为什么会持有这个引用？ 接着向下看， 答案在后面。

通过反编译字节码获得答案

在源代码层面， 我们无法看到原因，因为Java为了语法的简介， 省略了很多该写的东西， 也就是说很多东西本来应该在源代码中写出， 但是为了简介起见， 不必在源码中写出，编译器在编译时会加上一些代码。 现在我们就看看Java的编译器为我们加上了什么？

首先建一个工程TestInnerClass用于测试。 在该工程中为了简单起见， 没有创建包， 所以源代码直接在默认包中。在该工程中， 只有下面一个简单的文件。

?

1

2

3

4

5

6

7

8

9

public class Outer {

int outerField = 0

class Inner{

void InnerMethod(){

int i = outerField

}

}

}

该文件很简单， 就不用过多介绍了。 在外部类Outer中定义了内部类Inner， 并且在Inner的方法中访问了Outer的成员变量outerField。

虽然这两个类写在同一个文件中， 但是编译完成后， 还是生成各自的class文件：

这里我们的目的是探究内部类的行为， 所以只反编译内部类的class文件Outer$Inner.class 。 在命令行中， 切换到工程的bin目录， 输入以下命令反编译这个类文件：

?

1

javap -classpath . -v Outer$Inner

-classpath . 说明在当前目录下寻找要反编译的class文件

-v 加上这个参数输出的信息比较全面。包括常量池和方法内的局部变量表， 行号， 访问标志等等。

注意， 如果有包名的话， 要写class文件的全限定名， 如：

?

1

javap -classpath . -v com.baidu.Outer$Inner

反编译的输出结果很多， 为了篇幅考虑， 在这里我们省略了常量池。 下面给出除了常量池之外的输出信息。

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

{

final Outer this$0

flags: ACC_FINAL, ACC_SYNTHETIC

Outer$Inner(Outer)

flags:

Code:

stack=2, locals=2, args_size=2

0: aload_0

1: aload_1

2: putfield #10 // Field this$0:LOuter

5: aload_0

6: invokespecial #12 // Method java/lang/Object."<init>":()V

9: return

LineNumberTable:

line 5: 0

LocalVariableTable:

Start Length Slot Name Signature

0 10 0 this LOuter$Inner

void InnerMethod()

flags:

Code:

stack=1, locals=2, args_size=1

0: aload_0

1: getfield #10 // Field this$0:LOuter

4: getfield #20 // Field Outer.outerField:I

7: istore_1

8: return

LineNumberTable:

line 7: 0

line 8: 8

LocalVariableTable:

Start Length Slot Name Signature

0 9 0 this LOuter$Inner

8 1 1 i I

}</init>

首先我们会看到， 第一行的信息如下：

?

1

final Outer this$0

这句话的意思是， 在内部类Outer$Inner中， 存在一个名字为this$0 ， 类型为Outer的成员变量， 并且这个变量是final的。

其实这个就是所谓的“在内部类对象中存在的指向外部类对象的引用”。但是我们在定义这个内部类的时候， 并没有声明它，

所以这个成员变量是编译器加上的。

虽然编译器在创建内部类时为它加上了一个指向外部类的引用， 但是这个引用是怎样赋值的呢？毕竟必须先给他赋值，　它才能指向外部类对象。　下面我们把注意力转移到构造函数上。 下面这段输出是关于构造函数的信息。

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

Outer$Inner(Outer)

flags:

Code:

stack=2, locals=2, args_size=2

0: aload_0

1: aload_1

2: putfield #10 // Field this$0:LOuter

5: aload_0

6: invokespecial #12 // Method java/lang/Object."<init>":()V

9: return

LineNumberTable:

line 5: 0

LocalVariableTable:

Start Length Slot Name Signature

0 10 0 this LOuter$Inner</init>

我们知道， 如果在一个类中， 不声明构造方法的话， 编译器会默认添加一个无参数的构造方法。 但是这句话在这里就行不通了， 因为我们明明看到， 这个构造函数有一个构造方法， 并且类型为Outer。 所以说，

编译器会为内部类的构造方法添加一个参数， 参数的类型就是外部类的类型。

下面我们看看在构造参数中如何使用这个默认添加的参数。 我们来分析一下构造方法的字节码。 下面是每行字节码的意义：

aload_0 ：

将局部变量表中的第一个引用变量加载到操作数栈。 这里有几点需要说明。

局部变量表中的变量在方法执行前就已经初始化完成；局部变量表中的变量包括方法的参数；成员方法的局部变量表中的第一个变量永远是this；操作数栈就是

执行当前代码的栈。所以这句话的意思是： 将this引用从局部变量表加载到操作数栈。

aload_1：

将局部变量表中的第二个引用变量加载到操作数栈。 这里加载的变量就是构造方法中的Outer类型的参数。

putfield #10 // Field this$0:LOuter

使用操作数栈顶端的引用变量为指定的成员变量赋值。 这里的意思是将外面传入的Outer类型的参数赋给成员变量this$0 。

这一句putfield字节码就揭示了， 指向外部类对象的这个引用变量是如何赋值的。

下面几句字节码和本文讨论的话题无关， 只做简单的介绍。 下面几句字节码的含义是： 使用this引用调用父类（Object）的构造方法然后返回。

用我们比较熟悉的形式翻译过来， 这个内部类和它的构造函数有点像这样： （注意， 这里不符合Java的语法， 只是为了说明问题）

?

1

2

3

4

5

6

7

8

class Outer$Inner{

final Outer this$0

public Outer$Inner(Outer outer){

this.this$0 = outer

super()

}

}

说到这里， 可以推想到， 在调用内部类的构造器初始化内部类对象的时候， 编译器默认也传入外部类的引用。 调用形式有点像这样： （注意， 这里不符合java的语法， 只是为了说明问题）

vcq9ysfP4M2stcShoyDU2sTasr/A4LXESW5uZXJNZXRob2S3vbeo1tCjrCC3w87KwcvN4rK/wOC1xLPJ1LGx5MG/b3V0ZXJGaWVsZKOsIM/Cw+a1xNfWvdrC673Syr7By7fDzsrKx8jnus69+NDQtcSjugo8YnI+Cgo8cHJlIGNsYXNzPQ=="brush:java">

void InnerMethod()

flags:

Code:

stack=1, locals=2, args_size=1

0: aload_0

1: getfield #10 // Field this$0:LOuter

4: getfield #20 // Field

Outer.outerField:I

7: istore_1

8: return

getfield #10 // Field this$0:LOuter

将成员变量this$0加载到操作数栈上来

getfield #20 // Field Outer.outerField:I

使用上面加载的this$0引用， 将外部类的成员变量outerField加载到操作数栈

istore_1

将操作数栈顶端的int类型的值保存到局部变量表中的第二个变量上（注意， 第一个局部变量被this占用，

第二个局部变量是i）。操作数栈顶端的int型变量就是上一步加载的outerField变量。 所以， 这句字节码的含义就是：

使用outerField为i赋值。

上面三步就是内部类中是如何通过指向外部类对象的引用， 来访问外部类成员的。

文章写到这里， 相信读者对整个原理就会有一个清晰的认识了。 下面做一下总结：

本文通过反编译内部类的字节码， 说明了内部类是如何访问外部类对象的成员的，除此之外， 我们也对编译器的行为有了一些了解， 编译器在编译时会自动加上一些逻辑， 这正是我们感觉困惑的原因。

关于内部类如何访问外部类的成员， 分析之后其实也很简单， 主要是通过以下几步做到的：

1 编译器自动为内部类添加一个成员变量， 这个成员变量的类型和外部类的类型相同， 这个成员变量就是指向外部类对象的引用；

2 编译器自动为内部类的构造方法添加一个参数， 参数的类型是外部类的类型， 在构造方法内部使用这个参数为1中添加的成员变量赋值；

3 在调用内部类的构造函数初始化内部类对象时， 会默认传入外部类的引用。

关注

转载自：https://blog.csdn.net/lujiancs/article/details/78175007

1、SQL注入攻击

SQL注入攻击就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

随着B/S框架结构在系统开发中的广泛应用，恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后，Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访问权限，进行破坏操作。

SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面:

1）不当的类型处理

2）不安全的数据库配置

3）不合理的查询集处理

4）不当的错误处理

5）转义字符处理不合适

6) 多个提交处理不当。

解决方法:

数据库安全通信包括SQL注入攻击的防范、安全设置、异常信息处理三个方面。

1.服务端Filter对访问者输入的字符进行过滤检验，但是攻击者经常把危险字符潜藏在用户输入的有效字符中完 成过滤检验。

2.通过正则表达式对页面的文本框输入的数据进行限制可以减少过滤检验存在的漏洞。

3.使用prepareStatment预编译sql语句

2、XSS跨站脚本攻击

跨站脚本（Cross-site scripting，简称XSS），是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击（一般只涉及攻击者和受害者），XSS涉及到三方，即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后，攻击者甚至可以假冒最终用户与网站进行交互。

XSS 属于被动式的攻击。攻击者先构造一个跨站页面，利用SCRIPT、<IMG>、<IFRAME>等各种方式使得用户浏览这个页面时，触发对被攻击站点的HTTP 请求。此时，如果被攻击者如果已经在被攻击站点登录，就会持有该站点cookie。这样该站点会认为被攻击者发起了一个HTTP请求。而实际上这个请求是在被攻击者不知情情况下发起的，由此攻击者在一定程度上达到了冒充被攻击者的目的。精心的构造这个攻击请求，可以达到冒充发文，夺取权限等多个攻击目的。在常见的攻击实例中，这个请求是通过script 来发起的，因此被称为Cross Site Script。

XSS漏洞成因是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码（最主要的是“>”、“<”），然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交代码会被受害用户的浏览器解释执行。

分为三种类型：

1）反射型（数据流向：浏览器 ->后端 ->浏览器）

反射型XSS脚本攻击即如我们上面所提到的XSS跨站脚本攻击方式，该类型只是简单地将用户输入的数据直接或未经过完善的安全过滤就在浏览器中进行输出，导致输出的数据中存在可被浏览器执行的代码数据。由于此种类型的跨站代码存在于URL中，所以黑客通常需要通过诱骗或加密变形等方式，将存在恶意代码的链接发给用户，只有用户点击以后才能使得攻击成功实施。

2）存储型（数据流向是：浏览器 ->后端 ->数据库 ->后端->浏览器）

存储型XSS脚本攻击是指Web应用程序会将用户输入的数据信息保存在服务端的数据库或其他文件形式中，网页进行数据查询展示时，会从数据库中获取数据内容，并将数据内容在网页中进行输出展示，因此存储型XSS具有较强的稳定性。

存储型XSS脚本攻击最为常见的场景就是在博客或新闻发布系统中，黑客将包含有恶意代码的数据信息直接写入文章或文章评论中，所有浏览文章或评论的用户，都会在他们客户端浏览器环境中执行插入的恶意代码。

3）基于DOM（数据流向是：URL-->浏览器 ）

基于DOM的XSS跨站脚本攻击是通过修改页面DOM节点数据信息而形成的XSS跨站脚本攻击。不同于反射型XSS和存储型XSS，基于DOM的XSS跨站脚本攻击往往需要针对具体的javascript DOM代码进行分析，并根据实际情况进行XSS跨站脚本攻击的利用。

解决方法：

1).输入过滤。对用户的所有输入数据进行检测，比如过滤其中的“<”、“>”、“/”等可能导致脚本注入的特殊字符，或者过滤“script”、“javascript”等脚本关键字，或者对输入数据的长度进行限制等等。同时，我们也要考虑用户可能绕开ASCII码，使用十六进制编码来输入脚本。因此，对用户输入的十六进制编码，我们也要进行相应的过滤。只要能够严格检测每一处交互点，保证对所有用户可能的输入都进行检测和XSS过滤，就能够有效地阻止XSS攻击。

2).输出编码。通过前面对XSS攻击的分析，我们可以看到，之所以会产生XSS攻击，就是因为Web应用程序将用户的输入直接嵌入到某个页面当中，作为该页面的HTML代码的一部分。因此，当Web应用程序将用户的输入数据输出到目标页面中时，只要用HtmlEncoder等工具先对这些数据进行编码，然后再输出到目标页面中。这样，如果用户输入一些HTML的脚本，也会被当成普通的文字，而不会成为目标页面HTML代码的一部分得到执行.

3、CSRF跨站请求伪造漏洞防护

CSRF是CrossSite Request Forgery的缩写，乍一看和XSS差不多的样子，但是其原理正好相反，XSS是利用合法用户获取其信息，而CSRF是伪造成合法用户发起请求。

字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时，其 Cookie 还没有过期的情况下，攻击者伪造一个链接地址发送受害者并欺骗让其点击，从而形成 CSRF 攻击。

根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求必须来自于同一个网站。

解决方案：

配置FILTER拦截用户所有请求(POST/GET)，对用户请求Referer头URL进行合法性校验。

4、URL链接注入漏洞防护

链接注入是修改站点内容的行为，其方式为将外部站点的 URL 嵌入其中，或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将URL 嵌入易受攻击的站点中，攻击者便能够以它为平台来启动对其他站点的攻击，以及攻击这个易受攻击的站点本身。

解决方案：

1，二次验证，进行重要敏感操作时，要求用户进行二次验证。

2，验证码，进行重要敏感操作时，加入验证码。

3，验证 HTTP 的 Referer 字段。

4，请求地址中添加 Token 并验证。

5，HTTP 头中自定义属性并验证。

5、会话COOKIE中缺少HttpOnly防护

会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。

HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。

如果在Cookie中没有设置HttpOnly属性为true，可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息。

如果在Cookie中设置HttpOnly属性为true，兼容浏览器接收到HttpOnly cookie，那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这将有助于缓解跨站点脚本威胁。

解决方案：

配置filter拦截器，将服务器端返回请求，向所有会话cookie中添加“HttpOnly”属性。

示例代码：

HttpServletResponseresponse=(HttpServletResponse)paramServletResponse

response.setHeader("SET-COOKIE","JSESSIONID=" + sessionid + "HttpOnly")

6、点击劫持漏洞(Clickjacking)防护

点击劫持是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

解决方案：

配置FILTER拦截器，在服务器端返回请求中，使用一个HTTP头“X-Frame-Options”值为SAMEORIGIN-同源策略 ，则frame页面的地址只能为同源域名下面的页面，防止点击劫持漏洞发生。

示例代码：

HttpServletResponseresponse=(HttpServletResponse)paramServletResponse

response.addHeader("x-frame-options","SAMEORIGIN")

7、HTTP host 头攻击漏洞

使用HTTP代理工具，可以篡改HTTP报文头部中HOST字段时，该值可被注入恶意代码。因为需要控制客户端的输入，故该漏洞较难利用。

解决方案：

配置FILTER拦截器，对请求输入HOST头信息进行信息安全性校验，防止HOST头信息被恶意篡改利用。

示例代码：

HttpServletRequest request =(HttpServletRequest)servletRequest

//主机ip和端口 或 域名和端口

String myhosts = request.getHeader("host")

if(!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")

!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")

!StringUtils.equals(myhosts,"xx.xx.xxx.xxx:xxxx")StringUtils.equals(myhosts,"xx.xx.xxx.xxx")

!StringUtils.equals(myhosts,"xx.xx.xxx.xxx") !StringUtils.equals(myhosts,"xx.xx.xxx.xxx" ){

logger.error("======访问host非法，已拦截======")

response.sendRedirect(request.getContextPath() + "/login.jsp")

return

}

8、越权访问漏洞防护

越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，分为垂直越权访问和水平越权访问。垂直越权是指不同用户级别之间的越权，如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。

Web应用程序如果存在越权访问漏洞，可能导致以下危害：

1）导致任意用户敏感信息泄露；

2）导致任意用户信息被恶意修改或删除。

解决方案：

配置FILTER拦截器，对请求所有URL进行拦截，对于需要进行授权的URL进行权限校验，防止用户越权访问系统资源。

9.弱口令漏洞

解决方案：最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码，应存储MD5加密后的密文，由于目前普通的MD5加密已经可以被破解，最好可以多重MD5加密，或者多种加密方式叠加组合。

10．JSP页面抛出的异常可能暴露程序信息。

有经验的入侵者，可以从JSP程序的异常中获取很多信息，比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。

解决方案：自定义一个Exception，将异常信息包装起来不要抛到页面上。

11.本地缓存漏洞

合法用户“注销”后，在未关闭浏览器的情况下，点击浏览器“后退”按钮，可从本地页面缓存中读取数据，绕过了服务端filter过滤。

解决方案：配置filter对存放敏感信息的页面限制页面缓存。如：

httpResponse.setHeader("Cache-Control","no-cache")

httpResponse.setHeader("Cache-Control","no-store")

httpResponse.setDateHeader("Expires",0)

httpResponse.setHeader("Pragma","no-cache")

12.文件上传漏洞。

前台仅使用JS对文件后缀做了过滤，这只能针对普通的用户，而恶意攻击者完全可以修改表单去掉JS校验。

13.Java WEB容器默认配置漏洞。

如TOMCAT后台管理漏洞，默认用户名及密码登录后可直接上传war文件获取webshell。

解决方案：最好删除，如需要使用它来管理维护，可更改其默认路径，口令及密码。