ESAPI 2.1.0 jar を使用して URL とクエリ文字列 (例: http://www.example.com/?keyword=<script>alert("hacking")</script> request) を検証する Web アプリケーションがあります。doFilter メソッドで同じことを実現するために、基本フィルターを実装する新しいフィルター クラスを実装しました。
同じものに重大なパフォーマンスの問題が発生しています。以下の使用コード
例 1:
StringBuffer requestUrl = httpServletRequest.getRequestURL();
String queryString = httpServletRequest.getQueryString();
if (StringUtils.isNotBlank(queryString)) {
requestUrl.append('?').append(queryString);
}
String url = requestUrl.toString();
boolean isSafe = ESAPI.validator().isValidInput("URL", url, "URL", url.length(), true, false);
if (!isSafe) {
logger.error("uNSAFE : URL contain scripting elements .sOMEONE TRYING TO MANIPULATE THE url");
validation.properties:
Validator.URL=^(ht|f)tp(s?)\\:\\/\\/[0-9a-zA-Z]([-.\\w]*[0-9a-zA-Z])*(:(0- 9)*)*(\\/?)([a-zA-Z0-9\\-\\.\\?\\,\\:\\'\\/\\\\\\+=&%\\$#_]*)?$
例 2: (以下も試してみました) main 関数を使用した簡単なプログラムを作成しました
List<String> myList = myset(); (the list size is 700 which holds valid and malformed/invalid url)
System.out.println("Total Size of URLS" +myList.size());
for (int i = 0; i < myList.size(); i++) {
System.out.println("Item No" +i);
boolean isSafe = ESAPI.validator().isValidInput(
"URL", validation(myList.get(i)), "URL", url1.length(),false,false);
}
上記のロジックを使用した場合のパフォーマンスへの影響を理解していただけますか? (例 1 と例 2) また、UNSAFE URL のパフォーマンスが大幅に低下することも確認しました。