我收到违规行为
request.getSession().setAttribute(Constants.DATA_LIST,dataList);
其中dataList为ArrayList
dataList=(ArrayList)request.getSession().getAttribute(Constants.DATA_TRANSFER_OBJECT);
和Constants.DATA_LIST返回String。
有人请帮我解决这个问题,以避免信任边界违规漏洞。
答案 0 :(得分:0)
之所以发生违规,是因为您将不可信数据(从请求传入)与可信数据(会话)一起存储。解决办法是要么不将数据存储在一起,要么对不可信数据进行验证和清理以使其可信。
请记住,“违反信任边界”实际上并不意味着存在漏洞,它只是意味着它使开发人员更容易犯错误并信任不受信任的代码/值。
答案 1 :(得分:-1)
得到了修复。 你需要为那个arraylist添加setter,getter并使用getter来获得arraylist。