ESAPIを使用してWebフォームの安全でない入力テキストをチェックするにはどうすればよいですか?私のアプリケーションはstruts1.Xを使用して構築されているため、検証をActionsクラスに追加する必要があると思います。おすすめのサンプル/チュートリアルはありますか?ありがとう。
質問する
7405 次
3 に答える
3
それと同じくらい具体的なことについては、通常、優れたチュートリアルはありません。
うまくいけば、私はこれについて間違っていますが、良いリソースが不足しているため、彼らのwikiを提案する必要があります。
私はあなたのために入力検証を見つけようとしていました...彼らはそれを自分たちでさえ持っていないようです。情報も見つかりませんでした。以下のビデオはそれを持っているかもしれません、あるいはそれが本当に良い答えを提供しないならば私はそれらに電子メールを送ります。彼らはあなたを正しい方向に導くことができるはずです...そしてあなたがそうするなら、私たち全員に恩恵を与え、彼らが彼らのウィキを更新することを要求します!
Eメール:jeff.williams%owasp.org@gtempaccount.com(リーダー、オーナー)
私もこれをチェックしますが、そのメールは正しく見えないので。
メール:kevin.w.wall@gmail.com(所有者、暗号ライブラリのコーダー)
彼らは役立つかもしれないこれらのユーチューブビデオです。彼らは、ESAPIの使用方法を教えるのに十分なリソースではないとさえ述べていますが、これらの4つのビデオでそれを修正したいと述べています。
- http://www.youtube.com/watch?v=suphwAsb-To
- http://www.youtube.com/watch?v=13O9RyjuB3o
- http://www.youtube.com/watch?v=_B2kv2mSJhE
- http://www.youtube.com/watch?v=mMW4fiUI5kQ
お役に立てば幸いです。
于 2012-07-31T10:27:42.320 に答える
1
フォームフィールドの検証は通常、ActionFormクラスで行われます。利用可能なすべての入力値があり、すべての検証をそこで実行できます。チュートリアル(利用可能な多くの1つ)cnaは、Strutsフォームの検証とエラー処理にあります。google(strutsvalidation)を使用してさらに見つけることができます。
于 2012-07-29T08:26:14.810 に答える
1
私はESAPIライブラリを数か月使用しています。ライブラリは、入力が何であるか、またはあるべきかを知ることができないため、入力を検証するために多くのことを行うことはできません。これは、正当なユーザー入力に含まれる可能性のあるすべての国際文字を考慮に入れる場合に特に当てはまります。
ESAPIライブラリは、主にサーバー出力のエンコードに使用します。目的は、ユーザー(または攻撃者の可能性がある)の入力を実行できないようにブラウザーに送り返すことです。代わりに、HTMLまたはJavaScriptはそれをテキストのみとして解釈します。
そのため、セキュリティには、検証とESAPIによるユーザー入力のエンコードの両方が重要です。
于 2014-09-15T19:55:33.633 に答える