用esapi验证Web表单中的输入文本

Question

如何使用esapi检查Web表单中的不安全输入文本？我的应用程序是使用Struts 1.x构建的，因此我假设应该将验证添加到Actions类中。您推荐的任何样本/教程？谢谢。

Answer 1

对于特定的东西，因为通常不会成为伟大的教程。

希望我错了这一点，但我必须建议他们的 wiki 由于缺乏良好的资源。

我希望为你找到输入验证......似乎他们甚至没有那么搞定自己。我也没有找到有关它的任何信息。下面的视频可能会拥有它，或者如果它没有给他们发电子邮件，如果它没有提供真正的好答案。他们应该能够把你放在正确的方向......如果你这样做，我们都会帮助他们更新他们的wiki！ 电子邮件：jeff.williams%owasp.org@gtempaccount.com（领导者，所有者）

因为电子邮件看起来不正确，虽然我也会检查这个。

电子邮件：kevin.w.wall@gmail.com（所有者，加密libs的编码器）

他们是这些可能有所帮助的YouTube视频。他们甚至提到他们不是很多良好的资源，教你如何使用esapi，但是他们希望在这四个视频中解决这个问题。

1. http://www.youtube.com/watch?v=suphwasb-to < / a>
2. http://www.youtube.com/watch?v=13o9ryjub3o < / li>
3. http://www.youtube.com/watch?v=_b2kv2msjhe < / li>
4. http://www.youtube.com/watch?v=mmw4fiui5kq < / li>

   希望它有助于！

Answer 2

正常情况下的表单字段验证在ActionForm类中完成。所有可用的输入值都有，并且所有验证都可以在那里完成。教程（其中一个可用）CNA在这里找到 struts表单验证和错误处理。可以使用Google（Struts验证）找到更多信息。

Answer 3

我已经与Esapi Library一起工作了几个月。图书馆无法对验证您的输入进行太多，因为它无法知道输入可能是或应该是什么。当您在可以在合法用户输入中的所有国际角色中的任何国际字符中，这尤其如此。

我们使用ESAPI库主要用于编码服务器输出。该目的是将用户（或可能的攻击者）发送回浏览器以这样的方式，即它无法执行。相反，HTML或JavaScript仅将其解释为文本。

这就是为什么我的验证和esapi对用户输入的编码对于安全性很重要。