我在Java中使用此控制器:
@Controller
public class AuthenticationController extends AbstractController {
@RequestMapping(value = Constantes.MAPPING_AUTH_BASE_ASP, method = { RequestMethod.POST })
public String authenticate(@Valid ComunicationWithAspRequest comunicationWithAspRequest, BindingResult result,
RedirectAttributes redirectAttributes, HttpSession sesion) throws Exception {
...
...
...
}
}
当我在Fortify中扫描我的代码时,对象comunicationWithAspRequest会导致批量分配:不安全的Binder配置漏洞。是否可以控制在绑定过程中使用哪些HTTP请求参数以及哪些参数将被忽略?
答案 0 :(得分:2)
您可以参考问题Prevent mass assignment in Spring MVC with Roo。
在您的情况下,您可以使用Spring MVC提供的 @InitBinder 。 @InitBinder 会为json和bean映射指定白名单。
根据我的经验,我使用 @RequestBody 进行自动绑定。我需要添加 @JsonIgnore 来指定不包含在映射中的属性。
<强> SimpleController.java
@RequestMapping(value="/simple")
public String simple(@Valid @RequestBody User user){
simpleService.doSomething();
}
<强> User.java
public class User{
private String name;
@JsonIgnore
private String dummy;
public void getName(){return name;}
public void setName(name){this.name = name;}
public void getDummy(){return dummy;}
public void setDummy(dummy){this.dummy= dummy;}
}