我用 veracode 扫描了项目,它给出了 CWE ID 93(CRLF 注入)的问题,这个问题发生在下面一行 -
InternetAddress[] address = {new InternetAddress(username)};
msg.setRecipients(Message.RecipientType.TO, address);
Veracode 在上述代码的第二行标记了问题 93。 用户名是从请求对象中解析出来的,请求对象是字符串缓冲区
所以我的一位同事建议我应该使用 validate 方法来删除 CRLF 字符。地址对象上的验证方法会删除 CRLF 分隔符吗?