java - 违反信任边界 - Veracode 缺陷

Question

我正在测试的代码中违反了信任边界。该代码在会话中添加表单，并且由于违反信任边界而存在缺陷

Inside Struts Action class execute method
{
 EditForm editform = new EditForm ();
 All the values are set either from databse or from request params and then the form is   added to session as below

 **request.getSession(false).setAttribute("EDIT_FORM", editform );**
}

我违反了以粗体显示的代码。

我怎样才能解决这个问题？我不确定在哪里添加验证。它是一种在 Action 类执行方法中创建的新表单，并且从 request 和 db 填充值

score 1 · Accepted Answer

您应该尝试 esapy 库，尝试类似：

ESAPI.getValidInput(...)

在设置属性之前。我发现这个缺陷与 Object 类型变量有关，这是最糟糕的事情，因为你无法验证它，因为你不知道类型。

java - 违反信任边界 - Veracode 缺陷

1 回答 1

Related

Reference