如何使用ESAPI检查网络表单中的不安全输入文本?我的应用程序是使用struts 1.X构建的,所以我假设应该将验证添加到Actions类中。你推荐的任何样品/教程?感谢。
答案 0 :(得分:3)
对于特定的东西,通常不会有很好的教程。
希望我错了,但由于缺乏良好的资源,我不得不建议他们wiki。
我正在寻找你的输入验证......似乎他们自己也没有。我也找不到任何关于它的信息。下面的视频可能有它,或者我会给它们发电子邮件,如果它没有提供真正的好答案。他们应该能够把你带到正确的方向......如果你这样做,请帮助我们,并要求他们更新他们的维基!
电邮:jeff.williams%owasp.org@gtempaccount.com(领导,所有者)
由于该电子邮件看起来不正确,但我也会查看此邮件。
电子邮件:kevin.w.wall@gmail.com(所有者,加密库的编码员)
他们是这些youtube视频可能会有所帮助。他们甚至提到他们没有很多好的资源来教你如何使用ESAPI,但他们希望在这四个视频中解决这个问题。
答案 1 :(得分:1)
表单字段的验证通常在ActionForm类中完成。有所有可用的输入值,所有验证都可以在那里完成。可以在Struts form validation and error handling找到一个教程(许多可用的教程之一)。使用谷歌(struts验证)可以找到更多。
答案 2 :(得分:1)
我已经使用ESAPI库几个月了。库无法验证您的输入,因为它无法知道输入可能是什么或应该是什么。当您考虑可能在合法用户输入中的所有国际字符时,尤其如此。
我们主要使用ESAPI库来编码服务器输出。目的是将用户(或可能的攻击者)输入发送回浏览器,使其无法执行。而是HTML或JavaScript将其解释为仅文本。
这就是为什么我的验证和ESAPI的用户输入编码对安全性都很重要。