[发明专利]交互式数据系统通用安全防护系统

权利要求书

1.一种交互式数据系统通用安全防护系统，其特征在于，依次包括，

数据输入接口，与交互式数据系统的人机交互输入连接；

防护模块，对数据输入接口输入的数据进行安全检测，将通过安全检测的数据自数据输出接口输出；

数据输出接口，与交互式数据系统的数据处理模块连接；

所述防护模块包括鉴权资源注册模块、CSRF攻击防护模块、参数校验模块、跨站脚本攻击防护模块、登录检验模块、SQL注入防护模块、XML实体注入攻击防护模块中的至少两种；

各个模块按照指定顺序依次对输入数据进行安全检测；

所述鉴权资源注册模块用于对交互式数据系统的菜单请求数据以及输入的URL进行鉴权；

所述CSRF攻击防护模块用于对数据进行CSRF攻击防护检测；

所述参数校验模块用于对接收的所有URL的参数进行参数校验；

跨站脚本攻击防护模块用于对接收到数据进行跨站脚本攻击防护；

登录校验模块用于对登录用户的权限进行检测；

SQL注入防护模块用于防止SQL注入攻击；

XML实体注入攻击防护模块用于防止XML实体注入攻击；

所述防护模块包括个性化设置模块，所述个性化设置模块用于用户设置交互式数据系统中参数的必填项和/或参数的类型、取值范围；

所述防护模块包括运行动态处理模块，所述运行动态处理模块用于协调所述防护模块中其他各个功能模块的运行。

2.如权利要求1所述的安全防护系统，其特征在于，所述CSRF攻击防护模块对每个请求的参数中携带的token值进行校验；所述token值为安全随机数；

请求中加入token值的方法为：使用csrf请求属性来获取当前的CsrfToken；或，使用SpringSecurity的JSP标签库中的csrfInput标签。

3.如权利要求1所述的安全防护系统，其特征在于，所述SQL注入防护模块使用PreparedStatement防范SQL注入攻击，或，使用Spring提供的NamedParameterJdbcTemplate类执行SQL防范SQL注入攻击。

4.如权利要求1所述的安全防护系统，其特征在于，所述XML实体注入攻击防护模块通过解析http/https请求中XML结构参数防止XML实体注入、解析静态XML配置文件防止XML实体注入或解析Excel防止XML实体注入。

5.如权利要求1所述的安全防护系统，其特征在于，所述防护模块包括隐私保护模块，所述隐私保护模块用于根据用户的设置，对指定的参数进行全部隐藏显示或部分隐藏显示。

6.如权利要求1所述的安全防护系统，其特征在于，所述防护模块包括运行日志保护模块，用于对交互式数据系统的所有操作记录日志，对日志的访问进行控制，同时，对日志中的敏感数据进行匿名化处理。