用于原木锻造的Checkmarx Java修复-消毒用户输入
谢了!
@RequestMapping(value = "/retriveCourses", method = RequestMethod.GET)
@ResponseBody
public List<Course> getCourses(@RequestParam(value = "courseType", required = false) String courseType) {
}
共有1个答案
在这种情况下,Checkmarx工具似乎是正确的。
“日志伪造”漏洞意味着攻击者可以设计安全敏感操作的日志并设置虚假审计跟踪,从而可能涉及无辜用户或隐藏事件。
在使用htmlescape时,将转义一些特殊字符:
-
null
它不会转义或删除为了保持日志完整性而必须避免的新行/EOL/TAB字符。
避免伪造日志的最佳实践建议如下:
>
确保替换所有相关的危险字符。示例:
cleaninput=input.replace('\t','-').replace('\n','-').replace('\r','-');
验证所有输入,无论来源如何。验证应基于白名单。只接受适合指定结构的数据,而不是拒绝坏的模式。检查:数据类型,大小,范围,格式,期望值。
希望这能解决你的问题。
-
另一个选项是使用simple_format或.html_safe或sanitize(fieldname)在视图中显示数据时进行sanitize。我应该在每个字段的所有视图中以及插入上进行消毒吗?在任何地方都必须手动执行此操作似乎不是很有条不紊 谢谢你的帮助
-
我正在尝试从我的数据库中获取第三方(潜在的不安全的)html内容,并将其插入到我的html文档中。 如何安全地做到这一点(针对XSS的保护)? 在Angular1.x中,以前有来清理输入,在Angular2中如何做到这一点?据我理解,Angular2默认情况下自动对其进行消毒,是这样吗? 像这样的东西是行不通的:
-
我编码了一个伪造的minecraft 1.12 mod,但是当试图游戏制作物品时,它不起作用。 以下是JSON文件: 你能帮助我吗?谢谢;)
-
锻造与财富是一款融合了锻造装备、地下城冒险诸多元素的游戏。
-
我有一个spring boot service(2.4.5)显示了一个checkmarx错误,我们需要清理请求有效负载。我们如何对请求有效载荷进行消毒? 对于“@RequestBody final MyInput Input”,我得到以下checkmarx错误消息: 我想消毒我的有效载荷。或者除了使用DTO,然后将其转换为我的数据库实体之外,没有其他选择