Вопросы по теме 'esapi'
ESAPI для предотвращения XSS не работает
Я работаю над исправлением проблем межсайтового скриптинга в нашем коде в основном на JSPS.
Ниже исходный код
//scriplet code
<% String userId = request.getParameter("sid");
...%>
и в том же Jsp у них
<input...
24120 просмотров
schedule
13.09.2021
Обработка закодированных данных HTML и Javascript с использованием ESAPI в javascript
Если кто-то выполняет кодирование HTML и Javascript для содержимого html, чтобы предотвратить XSS (с использованием ESAPI,Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData)) ) перед отправкой ответа клиенту. Как обрабатывать эти кодированные...
8254 просмотров
schedule
28.03.2022
Использование «%» в качестве подстановочного знака с фильтром безопасности ESAPI
Мы используем уровень безопасности ESAPI в нашем приложении. Мы также намеренно используем символ '%' для поиска по шаблону, передаваемого со стороны браузера. Это плохой выбор, и он был перенесен в качестве устаревшего дизайна для простого создания...
115 просмотров
schedule
13.04.2022
Предотвращение ESAPI XSS для предоставленного пользователем свойства URL
Один из моих REST API ожидает свойство «url», которое ожидает URL-адрес в качестве ввода от пользователя. Я использую ESAPI для предотвращения XSS-атак. Проблема в том, что предоставленный пользователем URL-адрес выглядит примерно так...
9130 просмотров
schedule
19.04.2022
OWASP ESAPI simpleTest в проекте Maven Java EE
у меня есть небольшой проект JavaEE, и я должен защитить его с помощью OWASP ESAPI
я интегрировал ESAPI в Maven следующим образом:
<!-- ESAPI Version 2.0.1 -->
<dependency>
<groupId>org.owasp.esapi</groupId>...
17105 просмотров
schedule
29.05.2022
ESAPI для журналов: следует ли кодировать вывод журнала?
Я столкнулся с дилеммой, связанной с ведением журнала. Я ESAPI.properties установил следующие параметры журналов:
LogLevel=INFO
LogEncodingRequired=true
В моем приложении, если я вызываю...
974 просмотров
schedule
30.05.2022
как интегрировать ESAPI с HTTP-сервером Oracle или HTTP-сервером IBM
Есть ли способ интегрировать подключаемый модуль ESAPI для языка C с сервером Oracle HTTP или IBM HTTP. Я имею в виду, можем ли мы интегрировать специальный код C-Lang с HTTP-сервером Oracle для обеспечения безопасности. Это может быть...
101 просмотров
schedule
29.06.2022
Как сделать объект Singleton-Scoped потокобезопасным (Guice + Owasp ESAPI)
В настоящее время я использую Owasp ESAPI для управления аутентификацией в своем веб-приложении Java и внедряю Singleton MyAuthenticator с помощью guice.injectMembers(this). Я хотел бы отойти от этого подхода и использовать созданный guice объект...
995 просмотров
schedule
05.07.2022
Внедрение журнала ESAPI
Я включил ESAPI в проект из-за возможности внедрения логов.
Единственное, для чего я его использую, это вот так:
message = message.replace("\n", ERROR_MESS)
.replace("\r", ERROR_MESS)
.replace("\t", ERROR_MESS);
message...
225 просмотров
schedule
02.07.2022
Не удается смягчить SQL-инъекции с помощью OWASP.ESAPI — Veracode
Я выполняю сканирование veracode для своего кода Java, и он выдает следующую ошибку в одном из моих классов DAO.
Неправильная нейтрализация специальных элементов, используемых в команде SQL («SQL-инъекция») CWE ID 89
Однако я попытался смягчить...
775 просмотров
schedule
17.07.2022
Безопасно ли экранирование руля по умолчанию для использования в атрибутах HTML
Я выполняю контрактную работу над проектом, в котором есть множество методов экранирования HTML. Некоторые свойства экранируются в серверной части и отображаются как необработанные строки с использованием тройных рулей {{{escaped-in-backend}}} ,...
223 просмотров
schedule
20.07.2022
Кодирование и канонизация в ESAPI
Я понимаю, для чего используется ESAPI, но я вижу, что эти две строки повторяются во многих примерах ESAPI. Может кто-нибудь объяснить, что именно это делает?
ESAPI.encoder().canonicalize(inputUrl,false,false);
15387 просмотров
schedule
28.07.2022
NoSuchMethoException при вызове DefaultValidator.getValidFileName()
Я пытаюсь использовать метод getValidFileName (String, String, list, boolean) класса DefaultValidator из предоставленного ESAPI jar (esapi-2.0_rc11) для проверки имени файла. Но во время выполнения нет такого исключения метода.
Это мой код:...
1124 просмотров
schedule
05.08.2022
Ошибка ESAPI при попытке сохранить содержимое в базе данных
Я пытаюсь сохранить данные в базу данных, кодируя содержимое, поступающее из пользовательского интерфейса, но при попытке сделать
ESAPI.encoder().encodeForXML(encodingContent goes here)
Когда этот код выполняется, возникает следующее...
568 просмотров
schedule
05.09.2022
Почему ESAPI ClickjackFilter должен идти после фильтра SiteMesh?
У нас есть приложение, использующее OpenSymphony SiteMesh для сборки страниц, и мы добавили OWASP ESAPI ClickjackFilter для добавления заголовка X-FRAME-OPTIONS к ответам.
Однако это работает только в том случае, если сопоставление ClickjackFilter...
1538 просмотров
schedule
21.09.2022
Как использовать ESAPI Logger в приложении Android Native или Corodva
Я новичок в ESAPI, и я добавил банку esapi-2.0.1 в свое приложение для Android, смог вызвать любой из методов ESAPI. Однако я получаю Причина: java.lang.IllegalArgumentException: Не удалось загрузить ESAPI.properties как ресурс загрузчика классов...
375 просмотров
schedule
16.09.2022
java.lang.reflect.InvocationTargetException Класс кодировщика (org.owasp.esapi.reference.DefaultEncoder) CTOR выдал исключение
Я новичок в ESAPIm, и я несколько дней искал ответы. Я получил следующую ошибку:
Attempting to load ESAPI.properties via file I/O.
Attempting to load ESAPI.properties as resource file via file I/O.
Not found in 'org.owasp.esapi.resources'...
8471 просмотров
schedule
16.07.2023
Как добавить белый список тегов для Java ESAPI
Мы добавляем на наш сайт редактирование форматированного текста, в том числе возможность добавлять видео с YouTube. Но, с другой стороны, мы хотим оставаться в безопасности и предотвращать XSS/HTML-инъекции. Ранее мы использовали следующий код для...
2381 просмотров
schedule
10.03.2023
Ни в коем случае не удалось загрузить ESAPI.properties. потерпеть поражение. в результате не удалось инициализировать класс coldfusion.security.ESAPIUtils
У меня есть два сервера - один производственный и один - разрабатываемый, на которых работает ColdFusion 9.0.1 на IIS 7.5 на Windows Server 2008 R2. Оба настроены одинаково. У нас есть временная проблема, когда после нескольких недель или месяцев...
1918 просмотров
schedule
23.03.2023
Является ли веб-страница без текстовых полей и текстовых областей защищенной от XSS?
Если веб-страница состоит из раскрывающихся списков, переключателей, флажков и т. д. для пользовательского ввода, избегайте текстовых полей и текстовых областей, чтобы избежать ненадежных данных (вредоносный javascript, введенный пользователем)....
32 просмотров
schedule
03.09.2023
