セキュリティのために HDIV と統合された Spring Web アプリケーションがあります。機能の一部を変更し、期待どおりに動作するようになりましたが、ログに次のエラーがいくつか記録されます。
14:34:51,595 INFO [org.hdiv.logs.Logger] (http-localhost-127.0.0.1-8443-4) INVALID_EDITABLE_VALUE;/rule_engine;ruleExpression;(ここに私の式の値);127.0.0.1;127.0.0.1;匿名
なぜそうなのか、どうすればこれを回避できるのか教えてください。前もって感謝します。
危険な表現をしているようです。HDIV には、XSS や SQL インジェクションなどの最も一般的なリスクを回避しようとする検証ルールの既定のグループが含まれています。デフォルトでは、リクエストのすべての編集可能なフィールドが検証されます。
詳細については、こちらを参照してください。この構成を確認してください。
特定の URL に対してその検証を無効にしたい場合は、これを試してください。
<hdiv:editableValidations>
...
<hdiv:validationRule url="/rule_engine" enableDefaults="false"></hdiv:validationRule>
...
</hdiv:editableValidations>