浅谈Java开发中的安全编码问题

1 - 输入校验编码原则：针对各种语言本身的保留字符，做到数据与代码相分离。严重性高，可能性低。 参数校验，拦截非法参数； 不直接执行用户传入参数： 及时更新升级第三方组件：比如Struts、Spring、ImageMagick等。 关闭内联 DTD 解析，使用白名单来控制允许使用的协议； 禁用外部实体：。 过滤用户提交的 XML 数据：比如 ! iptables 中关闭相应 jdwp 对外访问的端口。对每一步的请求都要严格验证，并且要以上一步的执行结果为依据；给请求参数加入随机 key，贯穿验证的始终。