Проверка ввода текста в веб-формах с помощью ESAPI

StackOverflow https://stackoverflow.com//questions/11659287

  •  11-12-2019
  •  | 
  •  

Вопрос

Как я могу использовать ESAPI, чтобы проверить небезопасные входные тексты в веб-формах?Мое приложение построено с помощью Struts 1.x, поэтому я предполагаю, что проверки должны быть добавлены к классам действий.Любые образцы / учебники вы рекомендуете?Спасибо.

Это было полезно?

Решение

для чего-то, как специфическое, что и, обычно не будет хорошим учебным пособием.

Надеюсь, я ошибаюсь об этом, но мне пришлось бы предложить их Wiki из-за отсутствия хороших ресурсов.

Я искал, чтобы найти входную проверку для вас ... кажется, у них даже нет. Я не нахожу никакой информации об этом. Видео-видео внизу могут иметь это или я бы отправил им письмо, если он не дает реального хорошего ответа. Они должны быть в состоянии поставить вас в правильное направление ... И если вы сделаете это, делаете нам любую услугу и требовать, они обновляют свою вики!

Электронная почта: jeff.williams%owass.org@gtempaccount.com (лидер, владелец)

С тех пор, как электронное письмо не выглядит прямо, хотя я бы также проверил этот.

Электронная почта: kevin.w.wall@gmail.com (владелец, кодировщик crypto libs)

Их эти видео на YouTube, которые могут помочь. Они даже упомянули, что их не очень хорошие ресурсы, чтобы научить вас использовать Esapi, но сказал, что они надеются исправить это в этих четырех видео.

  1. http://www.youtube.com/watch?v=suphwasb-to < / a>
  2. http://www.youtube.com/watch?v=13O9Ryjub3o < / li>
  3. http://www.youtube.com/watch?v=_b2kv2msjhe < / li>
  4. http://www.youtube.com/watch?v=mmw4fiui5kq < / li>

    Надеюсь, это помогло!

Другие советы

Валидация полей формы обычно выполняется в классе ActionForm.Есть все доступные входные значения, и все проверки могут быть сделаны там.Учебник (один из многих доступных) CNA можно найти здесь Форма проверки и обработка ошибок .Больше можно найти с помощью Google (Vavelation Struts).

Я работаю с библиотекой Esapi уже несколько месяцев.Библиотека не может сделать слишком много, чтобы подтвердить свой вход, так как она не может знать, что может быть входным или должно быть.Это особенно верно, когда вы фактически во всех международных символах, которые могут быть в законном введении пользователя.

Мы используем библиотеку ESAPI в основном для вывода сервера кодирования.Цель состоит в том, чтобы отправить пользователю (или возможному злоумышленнику) ввести обратно в браузер таким образом, чтобы оно не может быть выполнено.Вместо этого HTML или JavaScript интерпретирует его как только текст.

Вот почему, как моя проверка, так и кодировка пользовательского ввода esapi важны для безопасности.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top