如何使用 ESAPI 检查 Web 表单中的不安全输入文本?我的应用程序是使用 struts 1.X 构建的,所以我假设验证应该添加到 Actions 类中。您推荐的任何示例/教程?谢谢。
问问题
7405 次
3 回答
3
对于特定的东西,通常不会有很好的教程。
希望我对此错了,但由于缺乏良好的资源,我不得不建议他们的维基。
我正在为您寻找输入验证......似乎他们自己甚至没有。我也找不到任何关于它的信息。下面的视频可能有它,或者如果它没有提供真正好的答案,我会通过电子邮件发送给他们。他们应该能够将您引向正确的方向……如果您这样做,请帮我们一个忙,并要求他们更新他们的 wiki!
电子邮件:jeff.williams%owasp.org@gtempaccount.com(领导,所有者)
由于该电子邮件看起来不正确,但我也会检查这封电子邮件。
电子邮件:kevin.w.wall@gmail.com(所有者,加密库的编码器)
他们是这些 youtube 视频,可能会有所帮助。他们甚至提到他们没有很多好的资源来教你如何使用 ESAPI,但表示他们希望在这四个视频中解决这个问题。
- http://www.youtube.com/watch?v=suphwAsb-To
- http://www.youtube.com/watch?v=13O9RyjuB3o
- http://www.youtube.com/watch?v=_B2kv2mSJhE
- http://www.youtube.com/watch?v=mmW4fiUI5kQ
希望它有所帮助!
于 2012-07-31T10:27:42.320 回答
1
表单字段的验证通常在 ActionForm 类中完成。有所有可用的输入值,所有验证都可以在那里完成。教程(许多可用的教程之一)可以在此处找到Struts 表单验证和错误处理。可以使用 google 找到更多信息(struts 验证)。
于 2012-07-29T08:26:14.810 回答
1
我已经使用 ESAPI 库几个月了。库不能做太多来验证您的输入,因为它不知道输入可能或应该是什么。当您考虑到合法用户输入中可能包含的所有国际字符时,尤其如此。
我们主要使用 ESAPI 库来编码服务器输出。目的是将用户(或可能的攻击者)输入以无法执行的方式发送回浏览器。相反,HTML 或 JavaScript 仅将其解释为文本。
这就是为什么我的验证和 ESAPI 的用户输入编码对于安全性都很重要。
于 2014-09-15T19:55:33.633 回答