Security 使用ESAPI'有什么好处;s号验证?
我被要求在所有REST端点中添加一些输入验证。我们的系统中有两个定制的验证约束,围绕ESAPI库;一个用于线包装,另一个用于长包装 ESAPI似乎只是简单地检查数字的最小值和最大值(我可以用JSR-303/简单地完成这项工作)。使用ESAPI库有什么额外的好处吗?或者我可以简单地删除自定义约束并添加bean验证注释吗 我同意我们需要ESAPI提供的字符串规范化,但对于数字我有点怀疑 使用ESAPI库有什么额外的好处吗 只需删除自定义约束并添加bean验证 注释 简言之,是的。如果您注意到调用中的最后一个参数是打开还是关闭链接。如果您的应用程序将其关闭,ESAPI将给您带来的唯一好处是将您的validation regex外包到validation.properties中,如果出现产品问题,您可以更改该值并重新启动服务器,从而保存应用程序的构建和部署。JSR-303需要重新编译和部署 但是,如果您没有启用规范化,那么ESAPI提供了一个迄今为止我在另一个Java安全库中没有发现的功能,即对给定的输入字符串进行检测和验证的能力。从取证和事件响应的角度来看,这非常有用,因为我们可以实时判断我们的web应用程序是否受到攻击,并记录和审核有关用户执行攻击的信息 ^^^从你上次的陈述中,你似乎知道这一切。我还没有看到一个web容器没有为数字传入Security 使用ESAPI'有什么好处;s号验证?,security,bean-validation,owasp,esapi,Security,Bean Validation,Owasp,Esapi,我被要求在所有REST端点中添加一些输入验证。我们的系统中有两个定制的验证约束,围绕ESAPI库;一个用于线包装,另一个用于长包装 ESAPI似乎只是简单地检查数字的最小值和最大值(我可以用JSR-303/简单地完成这项工作)。使用ESAPI库有什么额外的好处吗?或者我可以简单地删除自定义约束并添加bean验证注释吗 我同意我们需要ESAPI提供的字符串规范化,但对于数字我有点怀疑 使用ESAPI库有什么额外的好处吗 只需删除自定义约束并添加bean验证 注释 简言之,是的。如果您注意到调用中的
Stringsrequest.getParameter(“foo”)中提取它的IntegerLongStringsrequest.getParameter(“foo”)中提取它的IntegerLongStringsrequest.getParameter(“foo”)中提取它的IntegerLong