encodeForHtml() 与 htmlEditFormat()
encodeForHtml()(CF10 中的新功能)与 htmlEditFormat(),它们有何不同? 解决方案 我觉得和java的OWASP ESAPI中的encodeForHTML函数是一样的.更安全地避免 XSS 攻击以使用 HTML 中的内容. function he
..
esapi相关内容
尝试使用 ESAPI 但出现错误
我正在尝试使用 ESAPI.jar 为我的 Web 应用程序提供安全性.基本上我刚刚开始使用 ESAPI.jar.但问题是我什至无法使用 ESAPI 运行一个简单的程序.小代码片段是: String clean = ESAPI.encoder().canonicalize("someString");随机器 r=ESAPI.randomizer();System.out.println(r);S
..
我正在获得跨站脚本:Struts调用对bean类的验证不正确
我在HP Fortify中扫描了我的应用程序,但遇到了跨站点脚本:验证不正确的问题.我正在使用ESAPI库.我在Struts应用程序上得到了这个发现.
..
ColdFusion通过Java执行OWASP esapi
我有一些旧的ColdFusion代码.它最初是为CF9编写的,但现在可以在CF 2016上运行. application.cfc local.esapi = createObject("java","org.owasp.esapi.ESAPI");application.esapiEncoder = local.esapi.encoder() 很久以后 常规页面 form.
..
Esapi并对空白字符串使用replaceAll
我已经看到使用String.replaceAll("","");作为从Java字符串中消除“空白"或“非打印字符"的某种方式的引用.答案将证明这是错误的. value = value.replaceAll("", ""); 解决方案 使用Junit,我测试从\ u0000到\ uffff的每个Unicode字符. @Test public void testReplaceBla
..
关于ESAPI日志事件
嗨,有人能帮我吗,因为我不熟悉此概念,因为ESAPI给出了6个日志事件 SECURITY_SUCCESS, SECURITY_FAILURE, SECURITY_AUDIT, EVENT_SUCCESS, EVENT_FAILURE, EVENT_UNSPECIFIED 这些事件在我用Google搜索时会发生什么,但我想尽力而为,请帮助我理解这一概念或向我推荐一些网站 解决方案 嗯.
..
配置ESAPI安全编码库以防止XSS跨站点脚本问题
我正在尝试使用ESAPI对Webapp(Jsps)中的安全编码进行编码,以防止XSS.我在WEB-INF/lib下添加了esapi-2.1.0.jar,并在JSP中添加了以下行进行编码 ESAPI.encoder().encodeForHTML(request.getParameter("")) 但是我遇到了如下异常 org.owasp.esapi.errors.Configura
..
使用esapi验证Web表单中的输入文本
如何使用ESAPI来检查Web表单中不安全的输入文本?我的应用程序是使用struts 1.X构建的,因此我假设应该将验证添加到Actions类.您是否推荐任何样本/教程?谢谢. 解决方案 对于特定的东西,通常不会有很好的教程. 希望我对此有误,但我不得不建议他们的维基由于缺乏良好的资源. 我一直在寻找适合您的输入验证...似乎他们自己都没有.我也找不到任何信息.下面的视频可能有
..
Struts 2文本字段将撇号转换为“'".
我正在尝试使用已保存的值填充名称文本字段. 现在,该值可以包含撇号.但是文本字段将撇号转换为"'". 例如. sdsd'sds ==> sdsd'sds 文本字段的 escape属性不起作用. 我该怎么办? 解决方案 此问题已通过使用ESAPI.encoder().decodeForHTML()函数得到解决. 在s:textfields中使用之前,
..
使用ESAPI getValidInput方法
我无法使用ESAPI类' 下的方法 java.lang.String getValidInput(java.lang.String context, java.lang.String input, java.lang.String type,
..
使用Esapi验证时出错
我希望有人可以帮助我解决一些问题. 我正在将OWASP ESAPI 2.1.0与JavaEE结合使用,以帮助我验证Web应用程序中的某些条目.在某些时候,我需要验证Windows文件路径,因此我在"validation.properties"中添加了一个新的属性条目,如下所示: Validator.PathFile=^([a-zA-Z]:)?(\\\\[\\w. -]+)+$ 例如
..
XSS过滤器删除所有脚本
我正在为我的Web应用程序实现XSS过滤器,并且还使用ESAPI编码器来清理输入. 我正在使用的模式如下所示, // Script fragments Pattern.compile("(.*?)", Pattern.CASE_INSENSITIVE), // src='...' Pattern.compile("src[\r\n]*=[\r\n]*
..
ESAPI规范化格式错误的网址
我们有一个接受用户URL的应用程序。此数据需要验证,我们为此使用了ESAPI。但是,我们正在努力应对包含与号的网址。 当ESAPI在验证之前将数据规范化时,就会出现问题。 URL中的& pid = 123例如变成πd= 123。由于π未列入白名单,因此验证失败。 我尝试对它进行编码,但是ESAPI比这更聪明,并且进行规范化以避免双重编码和混合编码。我在这里有点难过,不知道如何进行。
..
在WildFly中重新部署ESAPI应用程序时,ClassCastException Log4JLogger无法转换为Logger
我在部署到WildFly.8.2.0.Final的WAR文件中使用ESAPI时遇到类奇怪的类加载问题.这是我得到的错误: 09:35:47,383 ERROR [stderr] (default task-12) Caused by: java.lang.reflect.InvocationTargetException 09:35:47,383 ERROR [stderr] (defaul
..
需要OWASP-ESAPI记录器帮助
在我当前的项目中,我正在使用Maven和Spring.我目前正在使用SLF4J记录器来记录服务.我要代替它使用OWASP-ESAPI记录器.我不想使用OWASP-ESAPI安全性,仅想使用日志服务.有人可以通过最小的努力替换slf4j记录器来指导我如何使用OWASP-ESAPI记录器吗?我尝试了很多Google搜索,但没有任何帮助.我将非常感谢一些链接,这些链接也可以获取有关OWASP-ESAPI
..
使用ESAPI记录器生成的日志
我在我的应用程序中使用ESAPI记录器. 记录器logger = ESAPI.getLogger(ABC.class) 在ABC.java类中,我们使用INFO级别来打印日志.根据定义,我们知道Info接受: 两个参数: info(Logger.EventType类型,java.lang.String消息) 三个参数: info(Logger.EventType类型,java.l
..
Spring表单标签的ESAPI实现
我们如何使用Java和spring-mvc在应用程序中实现ESAPI输出编码. 阅读许多帖子,并看到以下内容:
..
我正在获得跨站点脚本:对bean类的struts调用的验证不正确
我在HP Fortify中扫描了我的应用程序,但遇到了“跨站点脚本编写:验证不正确"的问题.我正在使用ESAPI库.我在Struts应用程序上得到了这个发现.
..
Maven项目(Web)中OWASP ESAPI文件的位置
我正在尝试在我的Maven Web项目中使用OWASP ESAPI库。我面临的问题是控制器无法找到ESAPI属性文件。 我尝试将它们放在资源文件夹中,但它不起作用。我似乎无法使其正常工作。 有人可以帮助我找到正确的位置Maven项目中的ESAPI资源。 解决方案 实现类的类Javadoc,[DefaultSecurityConfiguration](
..
Maven Java EE项目中的OWASP ESAPI simpleTest
我有一个小小的JavaEE项目,我必须使用OWASP ESAPI保护它 我在Maven中集成了这样的ESAPI: org.owasp.esapi esapi 2.0
..