我有一个Spring Boot应用程序,它公开了许多REST接口。公司的web开发安全标准要求在我的应用程序中使用ESAPI SecurityWrapper过滤器。,ESAPI SecurityWrapper会强制改写Http状态码到200,这对我的REST接口有明显的影响。
为了让SecurityWrapper状态代码不受影响,是否有一个公认的解决办法。
浏览 3提问于2017-01-25得票数 0
我正在使用esapi-2.1.0.1v,并试图包含OWASP过滤器实用程序。其中一个是SafeRequest和SecurityWrapperRequest之间的区别,以及下面为案例添加的最佳实践:返回新SecurityWrapperRequest(request).getParameterMap(); //org.owasp.esapi.filters.SecurityWrapperRequest()的返回新的SafeRequest(request).getP
浏览 9提问于2021-05-24得票数 0
Veracode扫描说,这个日志记录有Improper Output Neutralization for Logs,并建议使用ESAPI记录器。有没有办法在不将记录器更改为ESAPI的情况下修复此漏洞?这是我在代码中遇到这个问题的唯一地方,我试图找出如何用最小的更改来修复它。也许ESAPI有一些我没注意到的方法?当前的记录器是Log4j over slf4j
UPD:最后我使用了ESAPI记录器。我以为它不会使用我的默认日志服务,但我错了,它只是使用了我的slf4j记录器接口和适当的配
浏览 4提问于2017-07-06得票数 24
回答已采纳
1回答
我被要求在我们所有的REST端点中添加一些输入验证。我们的系统中有两个自定义验证约束,包装在ESAPI库中;一个用于字符串,包装为,另一个用于长时间包装。ESAPI的似乎只是检查数字的最小值和最大值(我可以简单地用JSR-303 /来做一些事情)。使用ESAPI库有什么额外的好处吗?或者我可以简单地删除自定义约束并添加bean验证注释吗?我同意我们需要ESAPI提供的字符串规范化,但是对于数字,我有点怀疑。
浏览 2提问于2015-10-08得票数 0
回答已采纳
Caused by: java.lang.ClassCastException: org.apache.log4j.Logger cannot be cast to org.owasp.esapi.Loggerat org.owasp.esapi.reference.Log4JLogFactory.getLogger(Log4JLogFactory.java:88) at org.owas
浏览 17提问于2017-07-13得票数 6
回答已采纳
4回答
包装或不包装ESAPI
、、、
我们有几个webapps,需要由ESAPI java库提供的功能。我和我的同事进退两难,是直接使用ESAPI,从而创建对ESAPI的直接依赖,还是创建一个将调用抽象为ESAPI的接口。除此之外,我们可以定义我们自己的接口,这更有可能符合我们的需求。<
浏览 1提问于2014-05-01得票数 1
我有两个模块将使用具有相同属性文件的ESAPI (ESAPI和validation.properties)。
这些模块输出到包含在ear中的ear。我正在使用ESAPI对html和url参数进行清理--我想知道我是否甚至需要这些属性文件可以被第二个模块访问,或者因为没有配置,而且所有的操作都是用默认值完成的。
浏览 11提问于2016-08-24得票数 3
回答已采纳
HashMap<>();log.info(markers,"Some value");private static final Logger LOG = ESAPI.getLogger(Some.class);
LOG.info(Some event type, some string我想在这里
浏览 4提问于2022-03-15得票数 1
回答已采纳
我已经尝试寻找ESAPI的PHP版本很长一段时间了,但我所能找到的只是大量的文档和接口。我在存储库中也找不到任何正常运行的代码。是否存在已完成的类?
浏览 2提问于2012-03-20得票数 2
希望我有这样一个特定的查询:temp = ESAPI.encoder().canonicalize(temp);我认为这里的行为和预期的一样。但我只想知道是否有工作围绕着其他can条件处理(if..else),如
浏览 5提问于2014-06-08得票数 1
回答已采纳
1回答
爪哇泽西岛REST请求参数卫生
、、、、
例如,如果提交的参数是整数,那么选项1 (getIntData)和选项2 (getStringData)黑客安全吗?如果是JSON请求,我的ESAPI实现是否足够,还是需要在映射后验证每个数据参数?泽西岛Rest示例类://Jersey throws an internal().canonicalize(data);
if (ESAPI.vali
浏览 1提问于2014-10-24得票数 3
回答已采纳
我试图通过对来自UI的内容进行编码将数据保存到数据库中,但是当我尝试这样做时当执行此代码时,获取以下异常
异常occurred:org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException编码器类(org.owasp.esapi.reference.DefaultEncoder) CTOR抛出异常。: jav
浏览 1提问于2019-03-29得票数 0
我的web应用程序只使用以下ESAPI编码方法:
在这种情况下,ESAPI.properties中所需的最小属性是什么?现在我使用的是ESAPI 2.1.0.1和。
浏览 11提问于2017-09-07得票数 3
回答已采纳
3回答
我在ColdFusion中使用以下命令加密了一个字符串:我可以使用以下命令来解密ColdFusion中的字符串:但是我无法在PHP中解密strEnc。我在PHP中发现了一些解密
浏览 0提问于2012-06-29得票数 0
回答已采纳
1回答
我目前正在用Java和MySQL开发REST,它将把数据输入到Android。数据来自AngularJS前端。所以我的问题是,什么时候:什么时候我才能逃避这些数据?在填写准备好的陈述之前?我目前正在摆弄ESAPI和encodeForHTML --这里的问题是,我想要支持的是逃避@和:)之类的东西。
浏览 0提问于2015-05-22得票数 2
回答已采纳
我们在Spring项目中引入了esapi,以处理呈现到HTML和Javascript中的清理数据。我们使用的一个字段由第三方webservice设置,并将结果输出到Javascript变量中:问题是,WebService的结果有时会在末尾附加一个换行符。encodeFo
浏览 1提问于2015-01-24得票数 2
回答已采纳
1回答
我的REST之一是期待一个属性" URL“,它需要一个URL作为来自用户的输入。我正在使用ESAPI来防止XSS攻击。问题是用户提供的URL类似于来自ESAPI编码器的加农尼化方法在这里抛出入侵异常,声称输入是混合编码的,因为它是url编码的,并且段'&phi‘被视为HTML编码,因此是异常。示例:<scr来是第一个查询param值和ipt>aler
浏览 2提问于2014-05-02得票数 4
回答已采纳
我已经做了足够的家庭作业,还安装了ESAPI 2.0。但是我不知道如何实现这些解决方案。请给出一个解决方案。
浏览 0提问于2012-06-13得票数 0
回答已采纳
云服务器
ICP备案
云点播
对象存储
即时通信 IM
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号