问题标签 [input-sanitization]

我们正在构建一个定制的 JEE 安全层，以确保解决所有可能的 OWASP 问题。这个安全层被构建为需要在控制器（在我们的例子中是 Spring）之前运行的过滤器，以便它们可以在请求实际到达控制器之前执行。这些安全过滤器查看用户输入并执行各种清理。一种这样的卫生措施是 JSON 卫生措施，其中从客户端的 JSON 数据中查找任何恶意内容。

目前，Spring 控制器使用 @RequestBody 注解将传入的 JSON 数据流行到 POJO 类中。

我有完全相同的问题，但是，是否有一种通用的方法可以从请求中检索参数（作为 JSON 数据发送）？

我的目标是在过滤器中有一个 JSON 净化器代码，以便它拦截并解析所有传入控制器的 JSON 数据。

Does JSON Jackson Library have JSON Sanitizing capability like the OWASP JSON Sanitizer ? I went through Jackson documentation but, couldn't find any reference about it. It only talks about Streaming, Traversing and Binding of JSON data and nothing about sanitizing or similar functionality.

Could someone please confirm.

I need a library that can check the JSON data for any malicious or vulnerable content/code.

我有一个简单的留言板，比如说：mywebsite.com，它允许用户发布他们的消息。目前，董事会使所有链接都可点击，即。当有人发布以以下开头的内容时：

然后脚本自动将它们作为链接（即添加 A href.. 标记）。

问题 - 垃圾邮件太多。所以我的想法是自动删除上面的http|s/www，这样它们就不会变成“可点击的链接”。但是，我想允许海报链接到我网站内的页面，即。当消息包含指向 mywebsite.com 的链接时，不要删除 http|s/www。

我的想法是创建两个数组：

但我不知道如何正确使用它们（可能 str_replace 可以以某种方式工作）。

以下是发布前和发布后的 $message 示例：

$之前的消息：

世界你好，感谢http://mywebsite/about我学到了很多东西。我在http://www.bing.com、https://google.com/search和一些www.spamwebsite.com/refid=spammer2上找到了你。

$消息之后：

世界你好，感谢http://mywebsite.com/about我学到了很多东西。我在 bing.com、google.com/search 和一些 spamwebsite.com/refid=spammer2 上找到了你。

请注意，用户在帖子表单中输入了明文，因此脚本只能使用此明文（而不是 href 等）。

我正在为 Wordpress 网站开发自定义主题，我想使用 Wordpress 核心数据验证功能来验证来自某些表单的信息。

每次我尝试使用该sanitize_text_field()功能时，都会出现此错误：

致命错误：调用未定义的函数 sanitize_text_field()。

我已经阅读了许多具有类似问题的帖子，特别是使用$wpdb，但它们似乎都不起作用。

我尝试使用此卫生功能的文件位于我的主题目录中，以防该信息有助于解开谜团。

我看过一些帖子谈论包括 wp-load.php 和formatting.php 文件，但我的尝试都没有奏效。

这是我今天遇到的最令人困惑的部分，我正在使用 codeigniter，但它的 xss 过滤器似乎没有像我们预期的那样正常工作，所以我们在将数据保存到数据库时尝试使用 htmlentities，但我在某处读到，我们永远不应该将用户输入的数据更改/编辑到数据库中，我们应该在浏览器上输出时始终这样做，所以在这里我完全困惑什么是最安全和最好的方式来获取用户输入，保存在数据库中并输出该数据使用 php

在 Web 应用程序或本机应用程序中的编码期间或代码（如 sql 注入和跨站点脚本 (XSS)）中可以处理哪些类型的攻击？

编辑：由于答案被搁置，我只想要最常见或前 5 名的名称，这些名称可以在编码中处理，而不是服务器（主机）或网络或操作系统问题。

编辑 2：我已将其缩小到由于持有而导致的攻击类别。

我正在为 Offer Drive 产品 ( http://offerletter.io/drive.html )追溯清理一堆数据。我正在尝试规范化一个自由格式的“位置”字段，以确定提交的位置是否在美国（或不在）。

值可能在粒度上有所不同，但都是“真实的”，例如

San Francisco, CA Milwaukee Bangalore 我的问题是，有没有一种好方法（一些 API 或库）可以根据用户提交的字符串智能地标准化这些，这样我可以说：

我真的很喜欢chronyk（https://github.com/KoffeinFlummi/Chronyk），这样的地点会很棒。

我正在使用富文本编辑器从客户端接受具有 HTML 内容的输入数据。

在服务器端，我使用基于 PHP 的服务器并清理传入的数据。

是否有内置的 PHP 功能，它保留了 HTML 代码并删除了用于 XSS + SQL 注入代码的 Javascript。

我的 API 正在从客户端接收一些 JSON 数据。

我想使用 Schema 对收到的数据执行验证和强制，但还有一个额外要求：如果有任何未在模式中描述的映射键，请忽略并删除它而不是验证失败（这是因为我的客户可能会向我发送一些“垃圾”属性以及我关心的属性。我想对此保持宽容。）。

所以简而言之，我想select-keys在验证/强制之前使用我的模式对我的输入数据执行“深度”。

我需要的示例：

我还没有找到一种可靠的方法来做到这一点：

1. 我似乎无法在自定义转换中执行此操作，因为步行者似乎无法让您访问密钥。
2. 我没有运气尝试手动遍历模式，因为很难以通用方式区分映射模式和标量模式；也很难解释模式可以具有的所有可能的形状。

有没有明显的方法我没有看到？

谢谢！

我有两张桌子员工和公司。我想在员工注册时使用设计注册操作注册员工的公司名称。如何编写设计参数清理方法以在员工注册时保存公司名称？