問題タブ [esapi]

Maven Web プロジェクトで OWASP ESAPI ライブラリを使用しようとしています。直面している問題は、コントローラーが ESAPI プロパティ ファイルを見つけられないことです。

それらをリソースフォルダーに入れてみましたが、機能しません。機能していないようです。

Maven プロジェクト内の ESAPI リソースの正しい場所を誰かが教えてくれますか?

XSS 用の spring-mvc に ESAPI を実装したいと考えています。これを実装するには、ESAPI バリデーター API を使用する必要があります。ESAPI プロパティは、各フォーム フィールドの許容値を保持します。

Spring MVC 内で ESAPI を使用するには、どのような構成が必要ですか?

解決策を提案してください。

Stack Overflow フォーラムは初めてです。fortify スキャンの問題の修正について質問があります。

HP Fortify スキャンで、次のコードのリソース インジェクションの問題が報告されました。

上記のコードでは、行 => url = new URL(testUrl);でリソース注入を表示することを強化します。

この問題を修正するために、ESAPI を使用して URL 検証のコードを次のように変更しました。

ただし、それでも Fortify スキャン レポートはエラーとして報告されます。この問題は修正されていません。何か間違っていますか？

どんな解決策も大いに役立ちます。

ありがとう、

マリムトゥM

追加のプロパティを含む独自のユーザー クラスを作成するにはどうすればよいですか? インターフェイスを実装して独自のユーザー クラスを作成し、org.owasp.esapi.Userいくつかの追加プロパティを追加しようとしました。

それから私はこれを試しました

しかし、この例外が発生します:

DefaultUser クラスも拡張しようとしましたが、エラーは同じでした。

ESAPI の使用を開始していますが、問題があります。サンプル ルール (Validator.Single=[AZ]$) を作成しようとしています。String に大文字のみが含まれているかどうかを検証します。

Validator.Single=[AZ]$ をvalidator.propertiesファイルに入れましたが、コードで使用すると:

出力が教えてくれます

「A」は有効な文字であるため、true に対して false を返します。

私がさらに何をすべきか知っている人はいますか？それとも私がルールを悪くしますか？

ご回答ありがとうございます。

ValidatorとEncoderを使用してESAPI for Javaを使用してXSSを防ぐことができるという多くの投稿を読みました。ちなみに私はエクリプスを使っています。MavenもSpringも使用していません。

私の質問は次のとおりです。

1. XSSを防ぐためにJava ESAPIを実装する方法は?
2. Build Pathに ESAPI jar を追加する以外に必要な構成はありますか?

ご回答ありがとうございます。

Java Web アプリケーションに ESPI セキュリティを使用しています。入力タイプは1つ

フォームを送信すると、検証が失敗します。

この種の値に対して特別な注意を払う必要がありますか?