如何忽略ESAPI异常"org.owasp.esapi.errors.IntrusionException:输入验证失败“?
我的项目(基于JSP、Struts、hibernate构建)从用户获取输入并将其保存在数据库中。为了使我的应用程序安全,我使用了ESAPI jar。
我得到了异常
org.owasp.esapi.errors.IntrusionException:输入验证失败
在ESAPI.encoder().canonicalize();方法中
当我们从skype、MS word等复制和粘贴数据时,通常会出现此异常。
当我从skype messenger复制粘贴字符串时,它会自动添加带有div、meta、p等(所有HTML标记)的额外样式数据,这会导致添加许多可能导致上述异常的特殊字符。
但是当我从记事本复制字符串时,它不会给出异常。
如何忽略此异常才能添加数据?在ESAPI.properties或validation.properties中有需要修改的地方吗?你的观点是什么?
回答 1
Stack Overflow用户
发布于 2019-03-18 08:36:14
我认为你的奇怪问题是当你从(比如说) MS Word粘贴一些东西时,而不是从记事本这样的简单东西时,你会遇到额外的编码问题。当你在Word中时,它会拾取一些额外的元数据,而“MS Word”中的默认“粘贴”实际上是“粘贴特殊”。这样做的目的是为了使您可以将文本从一个Office应用程序复制到另一个Office应用程序(例如,Word到Outlook)并“保留格式”。我认为这是所有这些额外的元数据,你正在弄乱你,因为它可能看起来像是ESAPI是多编码的,或者它认为使用了混合编码。
也就是说,如果您想要进行验证,您确实应该使用Validator.isValidInput()或Validator.getValidInput()方法之一。
-kevin
https://stackoverflow.com/questions/55178091
复制相似问题