我的产品中有一个CWE 117问题。
CWE 117问题是软件没有正确清理或错误地清理写入日志的输出,我得到的一个可能的解决方案是在记录时添加以下内容。
String clean = args[1].replace('\n', '_').replace('\r', '_');
log.info(clean);
我的问题是log4j中是否有任何中心位置,单个更改可以解决此问题?
答案 0 :(得分:2)
负责序列化日志消息的是Layout,并且新行转换代码就在这里。
我建议创建自己的(普通)子类import org.apache.log4j.PatternLayout;
import org.apache.log4j.spi.LoggingEvent;
public class NewLinePatternLayout extends PatternLayout {
public NewLinePatternLayout() { }
public NewLinePatternLayout(String pattern) {
super(pattern);
}
public boolean ignoresThrowable() {
return false;
}
public String format(LoggingEvent event) {
String original = super.format(event);
// Here your code comes into play
String clean = original.replace('\n', '_').replace('\r', '_');
StringBuilder sb = new StringBuilder(clean);
String[] s = event.getThrowableStrRep();
if (s != null) {
for (int i = 0; i < s.length; i++) {
sb.append(s[i]);
sb.append('_');
}
}
return sb.toString();
}
}
进行转换。这也在Log4j邮件列表here上进行了讨论。这是该线程中建议的解决方案的略微修改版本:
{{1}}
相关问题(可能有用的答案):