安全漏洞修复方法

1.SQL注入问题（从userFunc取出来的corps和deps可以直接拼接，不存在sql注入）

引入下面这个jar包可以调用处理文字参数的方法

对一些sql中用到in拼接的语句，直接拆分，拼成多个问好形式。

2.XSS漏洞（跨站点脚本编制、通过框架钓鱼、连接注入）

注：并非所有参数都需要encodeForHTML编码，需要的有：页面跳转方法中的String类型参数；查询数据方法中的String类型且可能为中文的参数；保存方法中的String类型且数据库类型不是char类型的参数

3.Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options

打开tomcat/conf/web.xml,增加如下配置：

  
    httpHeaderSecurity
    org.apache.catalina.filters.HttpHeaderSecurityFilter
    
        antiClickJackingOption
        SAMEORIGIN
    
    true


    httpHeaderSecurity
    /*

备注：如果找不到org.apache.catalina.filters.HttpHeaderSecurityFilter相关jar，可以去高版本Tocat中的catalina中将对应的HttpHeaderSecurityFilter.class拷贝进当前的低版本中。如果使用Tomcat8以上的版本，可以忽略这些配置，8.0以上版本已自带安全相关配置，如需用到，直接去tomcat/conf/web.xml启用即可。

4.设置方法的主体参数
@RequestMapping(value="/getUserAccount",method = RequestMethod.POST)
通过method参数可限定方法的访问方式，默认post和get都支持