在我当前的项目中,我正在使用Maven和Spring。我目前正在使用SLF4J记录器来记录服务。代替它,我想使用OWASP-ESAPI记录器。我不想使用OWASP-ESAPI
安全性,只是日志服务。有人能指导我如何使用OWASP-ESAPI
记录器,用最少的努力替换slf4j记录器吗?我尝试了很多谷歌搜索,但没有任何帮助。我也会非常感谢一些链接来获得有关OWASP-ESAPI
记录器的知识。
需要注意的关键是,ESAPI只是为log4j或commons java构建的。util日志记录。我假设log4j。
步骤1:从类路径中删除slf4j库。如果您使用的是IDE,这应该是您的应用程序的“圣诞树”,并告诉您需要更改的一切。
第2步:将esapi添加到类路径
步骤3:手动将所有slf4j日志调用转换为新的ESAPI对应项。您将获得对esapi记录器的引用,如下所示:
Logger logger=ESAPI. getLogger("my.foo.class.Foo");
根据所提供的信息,这相当简单。
注意:Log4j不支持slfj支持的某些格式化调用。这将导致您要么手动重新创建输入,要么将所有这些实例推迟到以后,然后仍然使用slf4j,但只使用[MessageForcat][1]
传入日志输入。
重构代码以删除slf4j是一个可怕的解决方案,因为这样您就无法将JUL、JCL、LOG4J流量捕获到一个通用的日志漏斗中。之前的回答是错误的建议。
>
另一种选择是在ESAPI记录器接口上构建SLF4J记录器代理。我认为在这种情况下,你失去的功能比获得的要多。
我目前有log4j配置了一个XML配置文件,它有两个附录,“文件”和“电子邮件”。这两个都正常工作,但是我不想发送电子邮件给ESAPI内部产生的错误,所以我在XML文件中放入了一个新的记录器。记录器的完整列表是: 然而,这不起作用。我仍然会收到ESAPI中生成的错误的电子邮件(特别是org.owasp.esapi.reference.Log4JLogger类)。 我还尝试过使用“org.owasp
OWASP ESAPI for Java: 为Java开发人员提供强力且简单的安全控制。 OWASP ESAPI (OWASP企业级安全API)是一个自由开源的web程序安全控制库,它可以让程序员很容易的写出低风险的程序。The ESAPI for Java library is 旨在让程序员很容易的改进现有程序的安全。 ESAPI for Java 也为新的开发奠定了坚实的基础。 更多信息,请访
我们正在将ESAPI2.x(owasp java安全库)添加到一个应用程序中。 有人能展示一个通过使用规范化来防止的攻击样本吗??(爪哇语) 谢谢!
我正在尝试通过使用 ESAPI 覆盖()来覆盖 ESAPI OWASP 库中的现有方法。不知何故它不起作用,你知道为什么吗? 这是我的代码:
攻击向量:java.io.PrintWriter.write 说明:此对 java.io.打印编写器.write() 的调用包含一个跨站点脚本 (XSS) 缺陷。应用程序使用用户提供的输入填充 HTTP 响应,允许攻击者嵌入恶意内容,例如 Javascript 代码,这些内容将在受害者浏览器的上下文中执行。XSS漏洞通常被利用来窃取或操纵cookie,修改内容的呈现方式以及破坏机密信息,并定期发现
null null 这里,我试图给提供边距,但它不起作用...我使用的定位有效,但margin-top不起作用。请告诉我为什么中的margin-top属性不起作用。这是我在stackoverflow中的第一个问题,如果问题问错了,请原谅。:)