1. 多语言存储类型,存储方式:公共字段一条记录存储,相同字段不同类型,单独一张表存储。
2. 安全问题:
1). XSS攻击
a. 纯文本内容:Jsoup.clean(content, Whitelist.none()),只保留文本内容,会把html输入中的文本抽取出来。
b. 保存指定脚本:Jsoup.clean(html, baseUri, Whitelist.basic());
c. 输入url校验:判断是否是http或者/开头,如果不是,添加/线,然后保存到数据库。
2). 上传图片网址限制:对于上传的图片、视频等地址,应该做限制,只有上传到指定服务器的url才是合法的,或者只有指定的某些链接开头的链接地址,才是合法的。
3). (转义后)保存html:
StringEscapeUtils.unescapeHtml(str):还原特殊字符串
StringEscapeUtils.escapeHtml(str):转移特殊字符串
4). 上传次数限制:限制指定时间内,提交的频率。如果提交频率过高,为非法请求。可以通过redis实现。
5). 防止重复提交:如果提交内容完全相同,限制提交内容
6). 防止用户通过id,直接访问删除、未审批通过的项目
7). 当前用户信息尽量从后台获取,不要让前端当参数传过来。存在被串改的风险。
8). 即使是合法用户,也要判断用户权限范围。当前操作的项目,是否是他自己提交的项目。
9). 校验用户上传文件类型。contextType 和 后缀类型。枚举列出所有后缀和类型的关系,然后通过后缀名,获取contextType类型,对比是否正确。
10). CSS注入攻击:
"coverUrl":"http://1253283450.vod2.myqcloud.com/29a3dba0vodgzp1253283450/891f16e65285890783592877488/5285890783592887528.jpg);width=1000px;position:absolute;height:1000px;x:(1"
修复建议:使用str.replace对返回字符串中加增实体化编码 ) => )
11). 在没有必要输入应为空号的地方,转义小括号。
3. Whitelist:
Whitelist.none():不包含任何html标签
Whitelist.basic():只包含一些基本的html标签
Whitelist.basicWithImages():包含一些基本的html标签,和图片标签。
注意:图片的路径必须是http开头的绝对路径,不允许相对路径,相对路径的src会被清除。可以通过baseUri补全图片地址链接。
4. 迁移项目要先熟悉别人项目数据库中的表
5. ValidationUtil.validate(dto); 利用net.sf.oval.Validator校验数据合法性。
图片、视频、报告等链接:
1. 判断是否是http或者/开头,如果不是,签名添加/
2. 网址一般不会有括号:替换英文)为=> ),防止CSS注入攻击
3. 如果是需要上传到自己服务器的照片、视频、报告等,限制图片地址前缀
4. 直接输入的网址,例如:官网等字段,做XSS过滤
富文本介绍处理:
1.转义特殊字符串保存到数据库。
2.替换英文括号为中文括号?
1. 熟悉业务
2. 熟悉数据库表
3. 数据迁移方案
4. 多项目模块跳转的,需要提前联调
数据迁移:
1. 主键统一加一个值
2. 明确哪些值不能变。例如主键,可能在其他地方存储有用。
3. 先把老的数据表和新的数据表,导入到一个数据库。然后用一个SQL把所有数据查询出来,然后通过insert into ,通过SQL命令把数据导入。
4. insert into destinationTabelName (field1,field2,field3...) select field1,field2,field3... from sourceTableName