0

A4-Insecure Direct Object Referencesを防ぐために、JSF 1.2 または SEAM 2.2.2 にすでに統合されているものはありますか?

それを行うための ESAPI 関数は知っていますが、必要でない場合はプロジェクトに別のフレームワークを含めたくありません。JSF または SEAM に組み込まれているものはありますか?

4

1 に答える 1

1

いくつかの選択肢があります。

  1. SQLステートメントで保護されたリソースへのアクセスを確認します
  2. 間接オブジェクトハッシュマップは、文字通り10行のコードである非常に単純な構造です。再実装するだけで、ランダム性の原因に注意してください
  3. タグライブラリを変更して、ASP.netが行うことを実行します。つまり、入力が制限されているチェックボックス、無線グループ、選択などを検証し、送信された潜在的な入力の1つと同じ値を持ちます(つまり、「1」の場合、 「2」および「3」は、パラメーターがこれら3つの値の1つであることを示します。JSF2およびRich Facesは、基本的なソフトウェアエンジニアリングのASP.NET2.0レベルに到達しません。
  4. Faces統合のs:validateFormを使用して、プログラムによる検査を実行します。

正直なところ、J2EE用のESAPIを導入するには、数行のコードを少し静かにする必要があることを知っているので、(2)が最良の代替手段だと思います。DORマッピングを行うためにカスタムfilebaseauthenticatorが必要な理由は私にはわかりません。ESAPI for PHPでより緩い結合を目指しましたが、ESAPIforJ2EEをハッキングするのは久しぶりです。

于 2013-02-15T06:42:19.430 に答える