ESAPIを使用したWebフォームに入力テキストを検証します

Question

ESAPIを使用して、Webフォームで安全でない入力テキストを確認できますか？私のアプリケーションはStruts 1.xを使用して構築されているので、検証をActionsクラスに追加する必要があります。サンプル/チュートリアル推薦？ありがとう。

Answer 1

具体的には、通常は素晴らしいチュートリアルになることはありません。

うまくいけば、私はこれについて間違っていますが、私は彼らのhtemaps -esapi-java/wiki/welcome?tm=6 "rel=を提案する必要があります。良い資源がないため、「Nofollow」> Wiki 。

私はあなたのための入力検証を見つけようとしていました...彼らはそれを彼ら自身でも持っていないようです。私はその上の情報を見つけません。以下の動画はそれを持っているかもしれませんが、私はそれが本当の良い答えを提供していない場合は彼らに電子メールを送ります。彼らはあなたを正しい方向に置くことができるはずです...そしてあなたがそれをするならば、彼らは彼らのWikiを更新するすべての恩恵をすべて更新します！

Eメール：jeff.williams%owasp.org@gtempaccount.com（リーダー、所有者）

私はこれをチェックしますが、その電子メールは正しく見えません。

Eメール：kevin.wall@gmail.com（所有者、Crypto libsのコーダ）

彼らはこれらのYouTubeのビデオを助けるかもしれません。彼らは彼らがあなたにESAPIの使い方を教えるための良いリソースではないということさえ言及していますが、彼らはこれらの4台のビデオでそれを修正したいと言った。

1. http://www.youtube.com/watch?v=suphwasb-to < / a>
2. http://www.youtube.com/watch?v=13O9RYJUB3O < / li>
3. http://www.youtube.com/watch?v=_B2KV2MSJHE < / li>

Answer 2

フォームフィールドの検証は、通常、ActionFormクラスで行われます。利用可能なすべての入力値があり、すべての検証がそこで行うことができます。ここで見つかるのですがここにあります。ストラットフォーム検証とエラー処理。Google（Struts Validation）を使用してもっと見つけることができます。

Answer 3

私は今数ヶ月間ESAPIライブラリを使って働いています。入力が何であるかあるべきかわからないので、ライブラリはあなたの入力を検証するには多くのことができません。これは、正当なユーザー入力になる可能性があるすべての国際的な文字に課すときに特に当てはまります。

ESAPIライブラリをエンコードサーバー出力に使用します。目的は、実行できないように、ユーザー（または可能性のある攻撃者）をブラウザに送り返すことです。代わりに、HTMLまたはJavaScriptはテキストのみとして解釈します。

それが、私の検証とESAPIのユーザー入力の両方のエンコーディングがセキュリティにとって重要である理由です。