我正在尝试使用ESAPI验证来验证URL,但是由于&lang,我的验证失败了。如果删除language参数,则验证成功。请检查我的URL模式,让我知道为什么这个模式失败了。String url="http://google.com:000/menu.jsp?userid=test&age=2
浏览 18提问于2017-02-01得票数 0
回答已采纳
2回答
ESAPI规范化畸形形成url
、、、、
我们有一个接受用户URL的应用程序。这些数据需要验证,为此我们使用了ESAPI。然而,我们正在与包含符号的URL进行斗争。我尝试过对它进行编码,但ESAPI比它更聪明,并进行规范化,以避免双重编码和混合编
浏览 10提问于2014-04-24得票数 2
回答已采纳
一直在遵循esapi4java-core-2.0-install-guide.pdf的Eclipse格式,并将其应用于Websphere 7.5环境。步骤1-我在库中添加了esapi.jar (项目>属性> Java >库选项卡>添加外部JAR)。
步骤2-我在我的机器上的一个文件夹中找到了esapi和验证.properties文件。在相同的表单上,我将-Dorg.owasp.esapi.resources=&
浏览 2提问于2014-05-15得票数 0
回答已采纳
1回答
我正在使用ESAPI下载文件(由于安全原因,只有ESAPI被接受)。所以请找到我下面的代码。response.setContentType("application/msexcel");
当我点击下载时,下载的文件
浏览 33提问于2022-03-28得票数 0
1回答
ESAPI未通过文件验证
、、、、
我正在使用ESAPI来尝试和验证windows目录路径。由于某种原因,我目录路径中名为\14\的部分正被转换为CRLF。我收到的错误在下面,我没有正确理解什么?我觉得我的准则应该起作用了。@#$%^&{}_+-=,.~‘’]$输出,在ESAPI完成规范化和验证之后:
浏览 1提问于2019-02-22得票数 0
我有一个文本字段,人们可以输入他们想输入的任何内容。但是,当我从文本字段中获得值时,我希望返回编码的值,以便引号得到类似于"的值,而不是普通的"。我需要这样做,因为普通值在HTML属性(如description标记)中使用时会在稍后的站点中给我带来问题。有办法从<input type="text"/>表单元素中获取特殊字符的适当HTML代码吗?
浏览 2提问于2014-08-23得票数 1
回答已采纳
我研究了各种输入验证框架,包括用于JSR303bean验证的 impl,以及ESAPI验证器接口及其实现。ESAPI.properties:Java类:
ESAPI.validator().isValidIn
浏览 6提问于2012-10-26得票数 5
4回答
我的公司给我的任务是解决特定应用程序的所有安全问题。安全树报告跨站点脚本错误。错误出现在以下输入字段中:来自安全部门的报告不是很详细,但他们说他们可以向具有上述标记的页面发出但我不明白他们是怎么把脚本写进去的。我猜他们把它作为一个URL参数包含在
浏览 1提问于2011-08-13得票数 2
回答已采纳
我们有一个jaxrs服务,不幸的是,原始查询被执行,无准备语句。我们使用ESAPI来减轻XSS,SQLI。如下所示: if (value == null)
// Use the ESAPIva
浏览 1提问于2019-08-22得票数 1
回答已采纳
此URL显示为最初请求的受保护URL,但添加了票证参数(包含服务票证)。如果CAS服务器向此URL添加更多参数,是否违反CAS协议?在我的实际案例中,用户在CAS服务器进行身份验证时从下拉列表中选择一种语言。然后,此lang参数与用户名和密码一起提交,CAS服务器只是将其附加到他在重定向中发送的URL,如"&lang=fr-FR“。
由于该<em
浏览 3提问于2020-04-18得票数 0
我有一个应用程序与反映的XSS漏洞造成的一个未经验证的网址。我希望至少在客户端提供输出编码。我有权修改的前端页面,这是在html和js。我没有访问后端应用程序代码的权限,因此我不能在服务器端使用UrlEncoder.encode。我的问题是如何从客户端表单调用服务器端编码。我知道在jsp中我可以编写<@page import=org.owaps.esapi.*变量url = <%=Esapi.Encode
浏览 2提问于2012-02-11得票数 2
2回答
我对春季的CSRF (跨站点请求伪造)保护并不感到困惑。不,我有jsp,我的控制器和一个web服务。我想要做的是在web服务级别验证令牌,如果令牌是匹配的,则运行web服务(在我的例子中,请执行db插入) <form:input type="text" class="form-control现在我应该做些什么来验证这个令牌。我在那里有点迷茫。
在控制器类中,我获取表单到对象的值,并调用web er
浏览 6提问于2014-03-21得票数 9
回答已采纳
我们有Liferay服务器,从登录页面,是使用Apache web服务器上的策略代理配置的公共页面,用户的身份验证过程是通过openAM完成的。在成功验证之后,用户必须被重定向到url中提到的goto参数,在身份验证失败的情况下(通过身份验证模块),我们正在处理错误,并使用请求中的错误代码再次将用户重定向到登录页面。但现在apache web服务
浏览 3提问于2013-03-19得票数 0
回答已采纳
1回答
跨站点脚本攻击
、、
我想修复session.getparameter的jsp页面中的一个漏洞,以避免跨站点脚本attack.can任何人,请建议如何执行。flag)session.setAttribute("gsaPartnerContactEmail",request.getParameter("name_id"));但声纳qube仍然在失败
浏览 2提问于2020-02-28得票数 0
我尝试将队列服务部署为默认为空值的可选参数,模板首先创建存储帐户,然后将队列服务作为嵌套资源。模板引发错误默认模板验证失败:‘Message=Deployment’行'91‘列'9’处的模板资源'[concat(parameters('storageName'),'/default/',parameters('storagequeues')copyIndex())]‘无效:语言表
浏览 35提问于2020-09-10得票数 0
1回答
我的REST之一是期待一个属性" URL“,它需要一个URL作为来自用户的输入。我正在使用ESAPI来防止XSS攻击。问题是用户提供的URL类似于来自ESAPI编码器的加农尼化方法在这里抛出入侵异常,声称输入是混合编码的,因为它是url编码的</e
浏览 2提问于2014-05-02得票数 4
回答已采纳
3回答
我是ESAPIm的新手,几天来我一直在寻找答案。我得到了以下错误:Found in 'user.home' directory: C:\Documents and Settings\Administrator\esapi) CTOR threw exception
希望能尽快找到真正的答案。这是我使用
浏览 3提问于2012-12-18得票数 2
回答已采纳
1回答
如果输入参数中包含了HTML和javascript,那么我在试图清除请求内容时遇到了一个问题。
这基本上是为了防止XSS攻击,理想的机制是验证输入和编码输出,但由于一些限制,我无法在输出端工作。此时我所能做的就是尝试通过一个过滤器来清除输入。我使用ESAPI对输入参数进行规范化,并使用具有最严格限制的Whitelist.none()选项来删除所有的HTML。只要恶意的javascript在某些HTML标记中,但对于没有任何HTML包围
浏览 5提问于2016-03-29得票数 3
回答已采纳
以下代码容易出现veracode扫描报告的跨站点脚本攻击:
public void doPost(HttpServletRequest request,HttpServletResponse response是否有任何ESAPI库可以用于byte[]数组来修复XSS缺陷?
浏览 1提问于2019-07-25得票数 0
我最近尝试在我的网站上实施“Stripe”来支付款项。然而,我有一个问题,试图更新产品的价格。 <%= form.text_field :image_url %> <%= form.label :color %><,当我输入价格时,我会得到这两行的“未定义的错误”,它会说:“你是指”产品“吗?”我<
浏览 1提问于2018-09-18得票数 1
回答已采纳
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号