问题标签 [esapi]

我一直在尝试评估 OWASP ESAPI 库，但是在让它正确初始化时遇到了问题。我为 ESAPI.properties 和 validation.properties 设置了一个资源文件夹，它们是从类路径加载的，没有问题。但是 antisamy-esapi.xml 文件不是从类路径加载的，我发现 2010 年的一个错误提到了这一点。我得到的错误是：

尝试通过文件 I/O 将 antisamy-esapi.xml 作为资源文件加载。在“org.owasp.esapi.resources”目录中找不到或文件不可读：C:\Users\mydir\resin-pro-4.0.27\antisamy-esapi.xml 在 SystemResource 目录/resourceDirectory 中找不到：.esapi\antisamy -esapi.xml 在 'user.home' (C:\Users\mydir) 目录中找不到：C:\Users\mydir\esapi\antisamy-esapi.xml

我正在使用此库将应用程序部署到树脂。我已经尝试将 xml 文件手动放置在上面的所有位置中，最终唯一有效的是我的主目录，这对于生产部署来说效果不佳。

我还遵循了在其他地方找到的建议，该建议说设置 -Dorg.owasp.esapi.resources 属性。这也不起作用，但更有趣的是，错误并没有改变，这让我认为该设置由于某种原因没有被选中。

关于该文件需要在我的项目中的位置的任何指针，以便在部署到容器后正确加载？

提前致谢。

更新：

因此，通过挖掘代码，似乎有专门的函数用于加载 ESAPI.properties，这就是为什么该文件能够从部署到容器的标准资源（或任何其他 src 目录）目录加载的原因。然而，antisamy-esapi.xml 的加载函数只是检查 user.home 下的特定目录、配置的自定义目录或通过 ClassLoader.getSystemResource() 的结果。不知道为什么这些例程是分开的。在搞砸了几个小时后，我失去了耐心并复制了 DefaultSecurityConfiguration.java 并更正了 getResourceFile() 方法以使用与 loadConfigurationFromClasspath() 相同的查找代码。然后我用这个类调用 ESAPI.override() ，它现在似乎工作正常。

我正在为我的项目使用 ESAPI，并添加了 ESAPI 配置目录，src/main/resources以便将其复制到我的 WAR 文件中（我从 cloudbees 下载了 WAR，我可以看到它已放在WEB-INF/classes/esapi/目录中）

在本地，我只是指向目录所在的位置，一切正常，但在 cloudbees 上它对我不起作用。

为了访问它的属性，ESAPI 项目尝试了各种各样的东西，包括检查org.owasp.esapi.resources系统属性，所以我添加了以下代码cloudbees-web.xml：

我可以看到由于日志中的以下错误而找到了系统属性值：

所以它会找到系统属性（因为路径就像我指定的那样），但是当它在其中查找实际目录和文件时，我猜该目录不存在或不可读。

我需要把它移到别的地方吗？也许在 WEB-INF 目录里面？设置不对吗？我读过其他人通过为这个目录构建一个 JAR 解决了类似的问题，但这似乎不是一个好的解决方案，必须有一个简单的设置适用于 cloudbees。

I wanted to upgrade from Servlet 2.4 to Servlet 3.0. Currently we are using ESAPI in our application and would like to upgrade. Latest ESAPI release depends on servlet-api-2.4.jar. Does ESAPI support Servlet 3.0?

我正在尝试使用ESAPI.override()覆盖 ESAPI OWASP 库中的现有方法。不知怎的，它不起作用，你知道为什么吗？

这是我的代码：

哪个是正确的？

或者

或者

?

我查看了用于输入验证的各种框架，包括用于 JSR 303 bean 验证的Hibernate Validator impl，以及ESAPI验证器接口及其DefaultValidator实现。

ESAPI 输入验证通过 ESAPI.properties 文件围绕正则表达式模式匹配展开。

ESAPI 路线：

ESAPI.properties：

Java类：

Hibernate Validator/Spring MVC 路由

Hibernate 涉及使用各种约束注释（@NotNull、@Size、@Min、@Pattern、@Valid 等）来注释您的 bean。并为验证规则集成 Spring MVC。

似乎使用 Hibernate Validator/Spring MVC 提供了与正则表达式匹配等类似的功能。与Hibernate 验证器 api 相比，使用 ESAPI 库有什么优势吗？也许用于 SQL 注入/XSS 或任何类似性质的东西？为 ESAPI 输入验证框架提供开箱即用的 XSS/SQL 注入安全性？与使用其中一个或另一个相比的任何真正优势。提前致谢。

回答我自己的问题： 我想我为这篇文章找到了自己的解决方案。使用 Hibernate/Spring MVC 可以实现非常强大的 bean 验证功能。而Hibernate提供了@SafeHtml、@Pattern等安全注解。基本上我们可以设置一组提供bean验证的组合注解。http://docs.jboss.org/hibernate/validator/5.0/reference/en-US/html_single/

为什么我会在运行时收到这些错误？我正在使用 ESAPI-2.0.1.jar，我不想在服务器上运行它。只是在 Eclipse 中测试它。它们在我的构建路径和引用库中。任何帮助都会很棒。谢谢。

不知道该怎么办。

我是 ESAPI 的新用户，我正确创建了 ESAPI 属性（我认为），加密和解密工作。

但是，我不再看到原始代码的日志消息（它是一个 map/reduce 程序）。这是 ESAPI.properties 中的属性：

记录器是 slf4j，但我尝试将其更改为 log4j。

我考虑过使用 org.owasp.esapi.reference.Log4JLogFactory，但它与安全相关，我的代码显然不仅仅是安全事件要记录的内容。

我能做些什么？

是否已经在 J​​SF 1.2 或 SEAM 2.2.2 中集成了任何东西来防止A4 不安全的直接对象引用

我知道 ESAPI 函数可以做到这一点，但如果没有必要，我不想在我的项目中包含另一个框架，JSF 或 SEAM 中有什么内置的吗？

我是 ESAPIm 的新手，几天来我一直在寻找答案。我收到以下错误：

希望尽快找到真正的答案。这是我使用 ESAPI 登录的代码：

非常感谢您的回复：）