我用veracode扫描了项目,它给出了CWE ID 93(CRLF注入)的问题,此问题发生在波纹管下面-
InternetAddress[] address = {new InternetAddress(username)};
msg.setRecipients(Message.RecipientType.TO, address);
Veracode正在将上述代码的第二行标记为问题93。 用户名是从请求对象(字符串缓冲区)中解析的
所以我的一位同事建议我应该使用validate方法删除CRLF字符。地址对象上的validate方法是否会删除CRLF分隔符?
答案 0 :(得分:0)
使用ESAPI(OWASP企业安全性API)。它完全免费。
在安装ESAPI之后,以下代码将解决此问题。
ESAPI.encoder()。decodeForHTML(用户名)