# SpringBoot常见安全风险

*   接口未加登录校验 → 未授权访问
    
*   没校验权限 → 水平/垂直越权
    
*   列表项MyBatis 用 ${}→ SQL 注入
    
*   列表项文件上传无校验 → 上传木马
    
*   日志/返回包泄露敏感信息
    
*   外部参数直拼命令/文件名/OSS 路径
    
*   短信/验证码接口无流控 → 被刷
    
*   用户输入直接返回前端 → XSS
    
*   CSRF跨站请求伪造
    
    用户在其他网站，被诱导点击链接，自动在当前已登录的网站发起操作（改密、发帖、支付）。

*   前端携带 CSRF Token，后端校验
    
*   Spring Security 自带 CSRF 防护，默认开启
    
*   关键接口加验证码 / 二次确认

*   防护

*   SSRF服务端请求伪造
    
    后端去请求第三方 URL 时，被用户控制地址，转而访问内网地址（Redis、MySQL、内网管理页面）。

*   危害
    
*   防护

*   限制只能访问外网域名
    
*   禁止内网 **IP：127.0.0.1、192.168.x.x、10.x.x.x**
    
*   白名单域名，禁止自定义 URL

*   内网探测、读取配置、攻击内网服务

*   XXE XML 外部实体注入
    
    解析 XML 时，攻击者构造恶意 XML，读取服务器文件、内网探测、命令执行。

*   禁用 XML 外部实体
    
*   不解析用户可控的原始 XML
    
*   使用安全的 XML 解析器

*   防护

*   接口限流 / 防刷
    
    防止攻击者疯狂调用接口：撞库、刷短信、刷接口、压垮服务。

*   验证码（登录、短信、关键操作）
    
*   IP 限流：1 分钟最多 10 次
    
*   用户维度限流：单个 UID 限制频率
    
*   用 Redis + Lua 实现滑动窗口

*   常用方案

*   敏感数据脱敏
    
    前端展示、日志打印时，隐藏部分信息，避免完整泄露。

*   VO 中使用工具类处理
    
*   统一切面 / 序列化脱敏
    
*   绝不返回完整明文

*   手机号：138\*\*\*\*1234
    
*   身份证：110\*\*\*\*\*\*\*\*\*\*\*1234
    
*   邮箱：a\*\*\*b@xxx.com
    
*   真实姓名：张\*、李\*\*

*   常见规则
    
*   实现