java web项目中的会话属性需要验证
我有以下代码行java web项目中的会话属性需要验证,java,validation,rest,session,Java,Validation,Rest,Session,我有以下代码行 httpSession.setAttribute(CREDENTIALS_ATTRIBUTE, credentials); 我已经使用IBMAppScan源代码版扫描了我的代码,它在上面的代码行中显示了一个类型为“Validation.Required”的可疑问题 在会话中将某些java对象设置为会话属性时,需要什么类型的验证 谢谢 拉胡尔 正如手册中所说,问题在于坚持在投入httpsession之前进行验证。它可以是基本数据类型验证,如数字、字符串、使用正则表达式的字
httpSession.setAttribute(CREDENTIALS_ATTRIBUTE, credentials);
我已经使用IBMAppScan源代码版扫描了我的代码,它在上面的代码行中显示了一个类型为“Validation.Required”的可疑问题
在会话中将某些java对象设置为会话属性时,需要什么类型的验证
谢谢
拉胡尔
正如手册中所说,问题在于坚持在投入httpsession之前进行验证。它可以是基本数据类型验证,如数字、字符串、使用正则表达式的字符或您的业务验证。
这主要是为了防止与安全相关的威胁,因为如果没有进行适当的验证,用户可以将任何垃圾数据注入您的HTTP会话。您好,谢谢您的快速回复。我已经看过了此文档。我使用的验证类型仍然不适用于我。甚至Session.getAttribute()也指向validation.Required问题。对于该java对象设置或进入会话,可以进行哪种验证?设置可以是属性的有效值(在逻辑和业务方面)。获取属性值将接收/设置为变量,无论会话复制到变量的值是空值还是任何垃圾字符。基本上,您需要确定潜在威胁,因为所有报告的都不是潜在威胁。