Java 信任边界冲突-触发代码时
触发veracode时,代码(session.setAttribute(..)中出现信任边界冲突Java 信任边界冲突-触发代码时,java,esapi,veracode,Java,Esapi,Veracode,触发veracode时,代码(session.setAttribute(..)中出现信任边界冲突 我如何解决这个问题。似乎没有什么上下文来回答这个问题。@Ryanthelich:目前我们的应用程序中几乎没有信任边界冲突(CWE ID 501)缺陷。建议解决这个问题的方法是根据正则表达式验证输入。因此,我们使用了ESAPI.validator.getValidInput()API。但缺陷仍然没有得到缓解。感谢AdvanceMissing context:那些\u prefix参数用于什么?担心的是
我如何解决这个问题。似乎没有什么上下文来回答这个问题。@Ryanthelich:目前我们的应用程序中几乎没有信任边界冲突(CWE ID 501)缺陷。建议解决这个问题的方法是根据正则表达式验证输入。因此,我们使用了ESAPI.validator.getValidInput()API。但缺陷仍然没有得到缓解。感谢AdvanceMissing context:那些
\u prefix
参数用于什么?担心的是您将对用户控制的数据执行逻辑。
Enumeration params = req.getParameterNames();
String sPrefix = "prefix_";
while (params.hasMoreElements())
{
String paramName = (String) params.nextElement();
if (paramName.startsWith(sPrefix))
{
String value = (Tool.getValue(req.getParameter(paramName)));
try {
session.setAttribute(ESAPI.validator().getValidInput("SafeCheckString",paramName,"SafeCheckString",1024,true), ESAPI.validator().getValidInput("SafeCheckString",value,"SafeCheckString",1024,true));//flaw
}
catch (ValidationException e)
{
ServiceHandler.writeException("Validation Exception occured while validating Input",e);
} catch (IntrusionException e)
{
ServiceHandler.writeException("Intrusion Exception occured while validating Input",e);
}
}
}