Java web应用程序控制器w.r.t web安全中参数映射大小验证的好处是什么

我有一个web应用程序SpringMVC，并对控制器中的每个参数进行输入数据验证。不存在的是检查接受的参数映射大小。i、 e当控制器预期10个参数且请求有11个或9个参数时

我被告知，参数大小对于防止任何攻击或注入（即安全pov）非常重要，尤其是参数回火。这在ZAP扫描期间突出显示，其中ZAP向没有请求参数的URL添加新的参数查询

在我看来，除非有业务原因，否则可以跳过检查尺寸。应用程序将简单地忽略额外的参数，如果有任何小于可接受的参数，则输入数据验证将处理它。大小检查并没有为安全性增加合理的好处

我的理由是，开发人员可能只编写10个参数，但底层框架可以添加更多参数。对于ex-Spring，MVC将添加一个参数CSRF令牌。框架中的任何升级都可能或多或少地引入这些功能

所以，现在的问题是，当每个参数验证都已就绪时，检查参数映射的大小是否重要？这样做的真正安全好处是什么

附言：我在证券交易所没有收到回复，所以就把它贴在这里了。

---

使用尺寸图有一些好处。例如防止HPP攻击等。您必须权衡维护难题与应用程序遭受此类攻击的风险。ZAP在没有参数的URL上添加了查询参数，以便测试一些东西，如DOM XSS等，否则这些东西可能会丢失或忽略。

谢谢。现在我看到了使用它的安全好处。