是否已经在 JSF 1.2 或 SEAM 2.2.2 中集成了任何东西来防止A4 不安全的直接对象引用
我知道 ESAPI 函数可以做到这一点,但如果没有必要,我不想在我的项目中包含另一个框架,JSF 或 SEAM 中有什么内置的吗?
问问题
964 次
1 回答
1
您有几种选择:
- 在 SQL 语句中验证对受保护资源的访问权限
- 间接对象哈希映射是一个非常简单的结构,实际上只有 10 行代码。只需重新实现,并注意您的随机性来源
- 更改您的标签库以执行 ASP.net 所做的工作,即验证具有约束输入的复选框、单选组、选择等,与已发送的潜在输入之一具有相同的值(即,如果您有“1”, “2”和“3”,表示参数是这三个值之一。JSF 2 和 Rich Faces 仍然无法让您达到基本软件工程的 ASP.NET 2.0 级别。
- 使用 Faces 集成中的 s:validateForm 执行编程检查。
老实说,我认为 (2) 是最好的选择,因为我知道为 J2EE 引入 ESAPI 需要为几行代码安静一点。为什么它需要一个自定义的 filebaseauthenticator 来进行 DOR 映射,这超出了我的理解。我的目标是在 ESAPI for PHP 中实现更松散的耦合,但我在 ESAPI for J2EE 上进行黑客攻击已经有一段时间了。
于 2013-02-15T06:42:19.430 回答