用户可以在http会话中定义/指定的值是否存在安全风险?
request.getSession().setAttribute(KEY,
request.getParameter(usernameParameter));
如果是这种情况我该怎么做才能解决这个问题?
我能想到的一件事是一个巨大的价值,它填补了我的硬盘/内存,但似乎有点牵强。限制字符串长度可以解决这个问题。
答案 0 :(得分:1)
这取决于你用它做什么。只是在会话中拥有用户定义的值应该没有太大的风险,除非容器有错误。
这并不意味着让用户在会话中放置他们想要的东西是个好主意,例如,容器做有错误。
答案 1 :(得分:0)
最后我决定只检查字符串长度。
大多数安全问题与servlet容器/ app服务器如何实现其处理会话的方式有关。这似乎因容器而异。