该标签下有 1 篇文章
Spring Boot 是坚实的基础,但事故来自依赖、配置和授权。本页是一份可上手的实务参考:(1) 按优先级排序的加固清单(P0–P2),(2) 分领域的具体对策 —— 依赖 CVE(Log4Shell 类,按实际运行版本判定)、生产配置与外部化密钥、Spring Security 授权(默认拒绝/方法级授权/所有者校验)、Actuator/管理端点的暴露收敛、不安全的反序列化、注入、请求头/CSRF/会话、SSRF,以及 (3) 自查清单。仅讲防御,不含攻击步骤。