问题标签 [esapi]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
logging - 用于日志的 ESAPI:我应该对日志输出进行编码吗?
我的日志记录有点进退两难。我已将ESAPI.properties日志选项设置如下:
在我的应用程序中,如果我调用
ESAPI.getLogger(MyClass.class).info(Logger.USABILITY, true, message),它将打印出带有编码字符的消息(如果有任何这些 <、>、&、'、" 等)。
问题是,我将打印出日志的消息将包含这些字符,并且上面的 log.info 调用将弄乱日志与所有编码字符的外观。
问题:如果我设置LogEncodingRequired=false(然后按原样输出消息),是否会增加我的日志文件(可以在 Web 浏览器中查看)易受 XSS 攻击的可能性?
regex - 可以使用 Esapi Java 编码器对 xml 文本数据进行编码吗?
我可以使用 ESAPI java 编码器对 XML 文本数据进行编码吗?XML 文本数据是否有单独的编码器?如果我使用 ESAPI 编码器对 XML 文本数据进行编码,会有任何差异吗?
java - HDIV 和 ESAPI 的区别
我计划使用 Spring MVC 开发一个 Web 应用程序,并试图找出哪个是用于解决 OWASP 前 10 名问题的最佳库。我来看看两个HDIV和ESAPI,谁能帮我理解它们之间的区别。
谢谢您的帮助。
jsp - esapi encodeForJavaScript 换行限制?
我们在 Spring JSP 项目中引入了 esapi,以处理渲染为 HTML 和 Javascript 的数据。我们使用的一个字段是由第三方网络服务设置的,我们将结果输出到 Javascript 变量中:
问题是 WebService 的结果有时会在末尾附加一个换行符。我原以为 encodeForJavascript 应该处理换行符,但上面的代码呈现如下:
esapi 是否按设计运行?有没有其他方法可以处理这个问题?
谢谢。
esapi - 带有应用服务器的 ESAPI 记录器
我使用 ESAPI jar 进行验证。当我调用 isValidInput(Context, input.trim(), ValidateConstant.APLHA_NUMERIC_TYPE, maxLength, true); 或 isValidInput(Context, input, ValidateConstant.NUMERIC_TYPE, maxLength, true); 并且输入错误的特殊字符。然后它会抛出一些像
这在我单独执行程序时显示。
如何将此异常集成到我的应用程序 server.log 文件中?
javascript - 如何使用 ESAPI 解决 JavaScript DOM XSS?
我们正在使用 HP fortify Audit Workbench 3.80 来评估我们应用程序中的漏洞。Fortify 将以下 ExtJs JavaScript 代码标记为严重(“最严重”)DOM XSS 漏洞:
response是从 AJAX 请求返回的响应。
强化 说:
方法“processResponse”在第 100 行将未经验证的数据发送到 Web 浏览器,这可能导致浏览器执行恶意代码。
我理解这个问题以及为什么它是一个问题。我不知道如何使用ESAPI清理输入。我们成功地使用 ESAPI 来解决我们 Java 代码中的问题,但我不确定在 JavaScript 中解决这个特定问题。
我确实找到了这个 JavaScript ESAPI 库ESAPI4JS,但是我在一个安全性极高的环境中工作,而且我无法访问这个库。
如何使用 ESAPI 清理响应?
编辑
为每个用户请求添加了完整的 ajax 请求代码。
java - 如何在javascript中通过easpi使用规范化数据
我如何使用 Esapi 按照 veracode 的建议规范化数据。
现在控制台中看到的数据是
但它在 html 中呈现为
如图所示,我的 javscript 无法理解数据并失败。我能做些什么来解决这个问题。
java - 如何解决 Java 代码中的隐私侵犯问题
我正在打印以记录,将数据写入信息级别的文件的命令。该命令还有用户密码参数。为此,我已经用 *** 替换了所有 pwd 的出现。PFB 代码:
当我扫描此代码是否违反 SSAP 时,它给了我隐私侵犯。
你能建议一个解决方案来处理同样的问题吗?
java - 用于验证的 OWASP ESAPI 性能问题
我们有一个 Web 应用程序,它使用 ESAPI 2.1.0 jar 来验证 URL 和查询字符串(例如http://www.example.com/?keyword=<script>alert("hacking")</script> 请求。我们已经实现了一个新的过滤器类实现基本过滤器以在 doFilter 方法中实现相同的功能。
我们看到了同样的主要性能问题。下面使用的代码
示例 1:
示例 2:(也尝试了以下)创建了一个带有 main 函数的简单程序
您能否帮助了解我们对使用上述逻辑的性能影响?(示例 1 和示例 2)我们还观察到不安全 URL 的性能非常缓慢。
java - SafeString 的正则表达式
我正在使用内置的 esapi 验证器。定义如下:
我对正则表达式不是很熟悉,经过阅读,我知道这个表达式匹配字母数字和空格。
我想将此表达式扩展为包括 *、-()&+ 和 /。我尝试执行以下操作,但似乎不起作用