【轻量级 PR】：少量安全问题修复 · Pull Request !8 · dromara/ujcms

### 1. SQL 注入防护
- 修复文件 ： src/main/resources/com/ujcms/cms/core/mapper/ArticleMapper.xml
- 修复内容 ：将 ${fromUserId} 改为 #{fromUserId} ，使用参数化查询防止 SQL 注入
- 修复原因 ：使用 ${} 会直接将值拼接到 SQL 语句中，存在 SQL 注入风险；使用 #{} 会使用参数化查询，安全可靠
### 2. CSRF 防护加强
- 修复文件 ： src/main/java/com/ujcms/cms/core/SecurityConfig.java
- 修复内容 ：在前端过滤器链中明确启用 CSRF 防护，使用 CookieCsrfTokenRepository.withHttpOnlyFalse() 存储 CSRF 令牌
- 修复原因 ：传统会话模式下需要加强 CSRF 防护，防止跨站请求伪造攻击
### 3. 文件上传安全控制
- 修复文件 ： src/main/java/com/ujcms/cms/core/web/backendapi/AbstractUploadController.java
- 修复内容 ：
  - 添加文件 MIME 类型验证，确保文件的 MIME 类型与文件后缀匹配
  - 实现 isValidContentType 方法，对不同类型的文件进行 MIME 类型验证
- 修复原因 ：防止攻击者上传恶意文件，如将可执行文件伪装成图片文件
### 4. 安全头部配置完善
- 修复文件 ： src/main/java/com/ujcms/cms/core/SecurityConfig.java
- 修复内容 ：添加了以下安全头部配置：
  - HSTS ：启用 HTTP Strict Transport Security，强制使用 HTTPS
  - Content-Security-Policy ：设置内容安全策略，限制资源加载来源
  - X-Content-Type-Options ：防止 MIME 类型嗅探
  - X-Frame-Options ：防止点击劫持攻击
  - X-XSS-Protection ：启用浏览器内置的 XSS 防护
  - Referrer-Policy ：控制 Referer 头部的发送
- 修复原因 ：完善安全头部配置可以提高系统的安全性，防止各种常见的 Web 攻击

dromara/ujcms .gitee-modal { width: 500px !important; }

搜索帮助

dromara/ujcms