如何中和HTTP标头中的CRLF序列
我已经通过了这个链接。[如何修复“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分')”
但它并没有给我解决方案。
我的代码也给出错误“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分')
我的代码片段是:
Cookie newloginCookie = new Cookie("CMCLoginCookie", userName + ":" + password);
newloginCookie.setMaxAge(24 * 60 * 60 * 1000);
response.addCookie(newloginCookie);
在veracode扫描中,最后一行出现错误。不知道该怎么办。
共有2个答案
一旦您获得用户名和密码,请尝试剥离它们的所有“\r”和“\n”字符。使用像Apache StringUtils这样的东西,这将是这样的:
String safeUserName = StringUtils.replaceEach(userName, new String[] {"\n", "\r"}, new String[] {"", ""});
String safePassword = StringUtils.replaceEach(password, new String[] {"\n", "\r"}, new String[] {"", ""});
然后使用安全字符串创建cookie。
通过使用ESAPI,您可以修复最大CWE问题。
基本上,上述问题是需要使用正则表达式或DefaultHTTPUtilities从用户输入中删除值。
-
我在我的项目上运行了Veracode扫描,它在HTTP响应拆分下给了我CWE ID 113问题。我试图用这些建议来解决这个问题,但没有成功。例如 上面的代码来自其中一个文件。并报告显示行错误 有什么建议,如何解决这个问题?
-
R之后 描述-函数调用包含HTTP响应分割漏洞。将未经初始化的用户提供的输入写入HTTP标头允许攻击者操纵浏览器呈现的HTTP响应,从而导致缓存中毒和跨站点脚本攻击。
-
任何人都知道如何解决这个veracode问题(CWE 113) 我已经尝试了下面的链接,但它不工作。 修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”) 下面是我遇到问题的函数。
-
运行VeraCode后,它在以下代码片段中报告了以下错误“HTTP头中CRLF序列的不正确中和('HTTP响应拆分”): 报告指向包含以下代码的行:Response。饼干。Set(languageCookie);可以使用什么修复来消除该错误? 谢谢的
-
运行veracode扫描后,我得到了CWE 113错误。我已经找到了替换cookie值的解决方案,但问题仍然没有解决。 修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”) 我该如何解决这个问题?
-
在Veracode报告中,我在一些java文件中发现了错误CWE 93。在静态扫描的情况下,一些代码是 2. 我怎么解决? 提前感谢