问题标签 [esapi]

在我当前的项目中，我使用的是 Maven 和 Spring。我目前正在使用 SLF4J 记录器来记录服务。取而代之的是，我想使用 OWASP-ESAPI 记录器。我不想使用OWASP-ESAPI安全性，只是日志服务。OWASP-ESAPI任何人都可以通过以最小的努力替换 slf4j 记录器来指导我如何使用记录器吗？我尝试了很多谷歌搜索，但没有任何帮助。我将非常感谢一些链接以获取有关OWASP-ESAPI记录器的知识。

我希望有人可以帮助我解决一些问题。

我将 OWASP ESAPI 2.1.0 与 JavaEE 一起使用，以帮助我验证 Web 应用程序中的某些条目。在某些时候，我需要验证 Windows 文件路径，因此我在“validation.properties”中添加了一个新的属性条目，如下所示：

例如，当我尝试通过 ESAPI 验证像“C:\TEMP\file.txt”这样的字符串时，我得到一个 ValidationException：

或者，我还尝试了java.util.regex.Pattern类来测试具有相同字符串示例的相同正则表达式，它工作正常：

我必须说我在“validation.properties”中添加了其他正则表达式并且工作正常。这个怎么这么难？谁能帮我解决这个问题？

我有两台服务器——一台生产服务器和一台开发服务器——在 Windows Server 2008 R2 上的 IIS 7.5 上运行 ColdFusion 9.0.1。两者配置相同。我们有一个短暂的问题，在几周到几个月的正常运行时间之后，网站的某些部分（特别是 CFIDE 管理员门户和任何带有 cfwindow 标签的页面）将开始在日志。

根据一些 建议，我几个月前卸载并重新安装了所有热修复程序，五次检查我是否以正确的顺序应用它们并遵循正确的说明集。

这并没有解决问题，但是当我梳理日志文件时，我注意到另一个与 ESAPI 相关的错误（“ESAPI.properties 无法以任何方式加载。失败。”）在 jRun 重新启动后出现在日志中。我尝试将以下声明添加到java.argsin jvm.config：

这似乎解决了几个月的问题；没有错误，一切正常。然后，昨天生产服务器再次开始抛出错误。我尝试重新启动 JRun 并重新启动服务器，但错误仍然存​​在。开发服务器非常好。

我尝试创建一个仅实例化和 cfdump 一个 ESAPIUtils 实例的脚本。在开发上，它会转储有关对象的元数据；在生产中，页面会导致错误。

我已经断断续续地与这个问题作斗争了将近一年。有时它会在几天后自行解决，有时会持续数周。我还没有想出一种“诱导”这种情况的方法，所以我们陷入了无法测试的“修复”，这些修复似乎可以工作一段时间，然后就不行了。

这似乎完全相切，但我们已经有内置IsImageFile()函数为有效图像返回 false 的实例。IsImageFile() 怪异似乎在“无法初始化类coldfusion.security.ESAPIUtils”疯狂开始之前就开始了。

以下是服务器版本：

以及来自的堆栈跟踪cfusion-out.log：

We are trying to implement a xss fix for our jsp web application. we have used the method ESAPI.validator.getValidInput. But this will take whitelist from properties file. My question here is whether blacklist is also available in ESAPI? In our web application many speicial chars are used and some international languages are allowed as input, so finding the whilelist character is complex here. I want to know the approach is correct(using esapi.validator.getvalidate and use whitelist) or not in this case.

我正在使用 ESAPI 记录器和 log4j.xml 文件提供的记录器进行配置。我能够成功打印日志消息（只是一个带有 main 方法的平面 java 程序）。下面是我的代码

我的 log4j.xml 文件如下所示

我正在使用这些ESAPI.properties和validation.properties

问题是 %M（用于模式布局）没有打印正在写入日志消息的方法的名称。%M 总是打印“日志”（org.owasp.esapi.Logger 中存在的方法）。如何在此处打印方法名称（在本例中为 main）。我尝试从不同的方法写入日志，但它仍然打印“日志”而不是方法名称。

我像这样公开一个 Spring REST 服务..

在上面的代码中，我明确地进行检查以确保 id 属于已登录的 USER。

必须在我需要保护资源的任何地方应用此检查。当然，我可以拥有一个方面并使用切入点表达式从一个地方应用它。我也听说过伪造 url 的 ESAPI

但我想知道 Spring Security Configuration 是否提供了开箱即用的东西，这样我就不会重新发明轮子。

我正在使用 esapi 进行输出编码。但是，它的工作很奇怪。

代码

这个语句“org.owasp.esapi.ESAPI.initialize()”在外部js加载之前被调用。所以，我得到“org”是未定义的。

我检查了 chrome 和 firefox，在两个浏览器中都遇到了同样的问题。这是正常行为吗？我希望，外部 js 正在同步加载。

此页面使用 iframe 嵌入到其他页面中。

我该如何解决这个问题？

我们想在 JBOSS WildFly 中配置 ESAPI 属性文件目录（通常由 VM 参数完成：-Dorg.owasp.esapi.resources="/path/to/.esapi"）但更喜欢以其他方式进行，支持不同项目的不同属性配置

有人知道该怎么做吗？

谢谢！

我在运行我的应用程序时遇到错误

我已经尝试通过更改以下属性，但它没有用

Validator.HTTPHeaderName=^[a-zA-Z0-9\-_]{1,32}$ 已将 32 更改为 50 但仍然抛出相同的错误

我的标题是 response.setHeader("Access-Control-Allow-Origin", "*"); 当我评论这一行时它正在工作，你能帮我如何更改 esapi.properties 文件中的标题名称长度吗

我正在将 esapi 安全过滤器应用于我的应用程序，正在使用 conf.properties 文件中的属性启用/禁用此安全过滤器。禁用时它工作正常，但启用时我无法访问我的应用程序这是我的一段代码：

我已经调试了这个问题，但无法解决。启用 request.getPathInfo() 为“”，禁用时返回路径。

如何解决这个问题，请帮助我。提前谢谢。