我目前正在尝试创建一个仅处理用户名和密码的安全登录。
我一直在阅读有关防止注入攻击的方法,C14N / 白名单验证似乎是一种常见的做法。但是,我不知道如何规范化然后验证用户输入。
我的登录是在一个 JSP 页面中,然后该页面通过 httpservlet 处理输入并检查用户输入是否与数据库中的输入匹配。
我有几个问题 :
- 我如何规范化?是否有现有工具可供我使用,或者我必须创建自己的版本?
- 我在哪里规范化和验证 - 在 JSP 页面或 Java servlet 中?
- 我是否需要将验证列入白名单,或者对用户输入 (usrname/pw) 是否足够好?
- 是否有实际实现的教程/示例,以便我可以进一步理解?
从理论上讲,这一切都说得通。但是我正在查看的所有网络文档都没有解释如何做到这一点。