网站安全策略

1.禁止保存网页

    有些网站不希望用户通过浏览器的另存为网页的功能来保存网页,可通过<iframe>标签来禁止.方法如下:

<iframe src = "不存在的页面" width = "0" height = "0"></iframe>

2.禁止复制网页内容

    <body onselectstart = "return false" onmouseup="document.selection.empty()" oncopy="document.selection.empty()" ondrag = "return false">

3.防止页面盗链

防止页面盗链,可应用请求头中的 referer 字段,它纪录了当前请求的上一次访问的地址

        <%
            String from = request.getHeader("referer");
            if((from == null) || from.indexOf("url")==-1)
                response.sendRedirect("er.jsp");
        %>

4.防止jsp 文件非法访问

第一种办法是设置权限校验,编写校验代码.

第二种办法是把jsp文件放到WEN-INF目录下,用户不能通过路径直接访问jsp文件

5.文件上传安全

文件上传时应严格控制能对系统构成威胁的文件类型,如 exe ,bat 文件等等

6.线程安全

对多线程对象要避免线程安全问题,解决办法有三种

第一种办法是把可产生多线程安全隐患代码以synchronized 来修饰

第二种办法是用局部变量替换实例变量,只使用只读的实例变量和静态常量.

第三种办法采用线程变量方法(ThreadLocal)或使用线程安全的数据结构,如用HashTable代替HashMap ,用Vector代替ArrayList.