我的项目有113个违反信任边界的行为。每个违规是针对存储到会话值的任何值。会话中存储的值实际上是具有多个属性的对象。因此,每次将值分配给违反的属性。我可以将数字值视为受信任的值,因为它们的类型很强。但是,来自文本框表单字段的字符串使我感到困惑。我确实启用了ASP.Net请求验证。
Fortify的建议说:“不信任的数据应在单个不信任的数据结构中构建,验证,然后移入信任的位置。”
是否需要对从文本框表单字段设置的字符串采取任何进一步的措施,以使这些值“有效”?或者,ASP.Net请求验证是否足够?
答案 0 :(得分:0)
我认为ASP.Net请求验证就足够了。当您将其标记为误报时,AI引擎将学习它。
同时,我认为在会话值上存储多个属性不是一个好习惯。