目录介绍：

• 1、Spring框架曝安全漏洞，你如何评价这个漏洞？
• 2、JDK9使用spring框架发现漏洞，官方对此有何回应？
• 3、Struct2+Spring 架构JavaWeb项目，出现xss跨站脚本攻击漏洞解决方案？？
• 4、spring MVC下如何能有效的防止XSS漏洞以及sql注入

Spring框架曝安全漏洞，你如何评价这个漏洞？

Spring框架曝安全漏洞，你如何评价这个漏洞？下面就我们来针对这个问题进行一番探讨，希望这些内容能够帮到有需要的朋友们。

继Log4j2以后，听到Java再度遭受漏洞进攻，这一次，好像状况也更为严重，由于遭受危害的是Java服务平台的开源系统全栈应用软件框架和控制反转器皿完成——Spring家族，并且网传漏洞还不仅一个。一直以来，Spring是程序编写开发设计的首选技术性之一，先前一位名叫BogdanN.的全栈开发者乃至点评道：“学习培训Java、学习Spring框架，你永远都不容易下岗。”

显而易见，假如Spring城门失火，Java必然殃及。但是，SpringRCE漏洞在互联网上炒了二天，尽管有许多安全圈工作人员陆续发朋友圈，但大量的或是表明了仅仅听到，这也不免令人怀疑，是真有漏洞，或是虚惊一场？3月26日，据网络信息安全网址CyberKendra报导，SpringCloudFunction官方网功能测试曝出了SpringCloudFunctionSPEL(SpringExpressionLanguage)关系式引入漏洞，网络黑客可使用该漏洞引入SPEL表达式来开启远程连接命令实行。

最初，科学研究工作人员在剖析SpringCloud函数公式的main支系时，发觉有开发者向在其中加上了SimpleEvaluationContext类。还采用了isViaHeadervariable做为标示，在分析spring.cloud.function.routing-expression以前分辨的值源自HTTPheader。现阶段，SpringCloudFunction被很多互联网巨头运用于设备中，包含AWSLambda、Azure、GoogleCloudFunctions、ApacheOpenWhisk及其很多Serverless服务提供商。

依据官方网文本文档，SpringCloudFunction是根据SpringBoot的函数计算框架，它可以：根据函数公式推动业务逻辑的完成。将业务逻辑的开发设计生命期与一切特殊的运作时总体目标分离出来，便于应用同样的编码可以做为Web端点、流处理器数量或每日任务运作。适用跨Serverless服务提供商的统一程序编写实体模型，具有单独运作（当地或在PaaS中）的工作能力。在Serverless上给予程序流程上开启SpringBoot作用（全自动配备、依赖注入、指标值）。

简单点来说，SpringCloudFunction根据抽象化传送关键点和基础设施建设，为开发者保存了解的开发环境和开发流程，让开发者致力于完成业务逻辑，进而提升开发设计高效率。现阶段，SpringCloudFunctionSPEL漏洞已被分类为比较严重级别，CVSS（通用性安全性漏洞评分标准）得分成9.0（100分10）。

对比前面一种，3月29日夜间，有许多网民曝出的SpringRCE漏洞，让开发者圈中人人自危。但是有一些与众不同的是，这一漏洞现阶段并没像Log4j2事情那般造成的圈里众多公司大型厂的紧急行动，都不像SpringCloudFunctionSPEL漏洞那般有官方网表明，乃至连海外公布漏洞的源头也是来源于QQ和中国一部分网络信息安全网址。

JDK9使用spring框架发现漏洞，官方对此有何回应？

官方目前并没有对此次回应，应该是还没找好修复的方法，不然早就回复了。不过官方目前回不回复也没关系，因为大部分公司使用的JDK版本还是处于JDK8。所以这个漏洞对于大部分厂商来说并不是什么问题，官方可以有足够的时间去修复。

其实这种问题官方第一时间回复也没什么用，因为这不是道歉就可以解决的，而且在IT圈，也没有说出现了这种Bug就要出来道歉的，因为出现这种Bug是常理之中。而且这次出现Bug的还是JDK9版本，这个版本虽然也不算是新版本，但大多数公司的程度架构都没有使用JDK9版本，因为目前最稳定的JDK版本是JDK8，对于公司来说，稳定大于一切。所以官方可能也是因为这个原因，没有第一时间出来回复，但都不用害怕，官方肯定会对此漏洞进行修复的，而且修复这种漏洞的时间也不需要多久。

官方虽然没有对此有回应，但也不需要官方回应才能解决问题。这次的Bug又是注入问题。虽然大部分公司的架构没有采用JDK9版本，但有部分公司可能采用了JDK9。出现这种问题，也不一定要等着官方的回应和补丁，可以自己先自行处理，因为这个漏洞虽然说是高危，但和SQL注入差不多。都是可以自行处理的。像SQL，使用预处理方式就完美的解决了这个问题。当然， 如果有官方的修复补丁是更好的，但短时间内是不可能的。

官方目前对此还没有回应，不过也正常，因为我们的时区不相同，别人那边可能还在休息。当然，官方的回应大概也是叫你等待补丁，或者给你推荐另外一个解决方案。

Struct2+Spring 架构JavaWeb项目，出现xss跨站脚本攻击漏洞解决方案？？

没用到富文本的话可以用spring里的HtmlUtils.htmlEscape(string str)来对parameter转码。是用filter还是其他方式都可以

spring MVC下如何能有效的防止XSS漏洞以及sql注入

在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原

在显示的时候对非法字符进行转义

如果项目还处在起步阶段，建议使用第二种，直接使用jstl的标签即可解决非法字符的问题。当然，对于Javascript还需要自己处理一下，写一个方法，在解析从服务器端获取的数据时执行以下escapeHTML()即可。

附：Javascript方法：

String.prototype.escapeHTML = function () {

return this.replace(//g, ‘’).replace(//g, ‘’).replace(/