那些遇到过的问题

批量分配的解决方案是什么:不安全的活页夹配置漏洞?

Bra*_*yes 3 java fortify

我在Java中有这个Controller:

@Controller
public class AuthenticationController extends AbstractController {

  @RequestMapping(value = Constantes.MAPPING_AUTH_BASE_ASP, method = { RequestMethod.POST })
  public String authenticate(@Valid ComunicationWithAspRequest comunicationWithAspRequest, BindingResult result,
      RedirectAttributes redirectAttributes, HttpSession sesion) throws Exception {
    ...
    ...
    ...
  }
}
Run Code Online (Sandbox Code Playgroud)

当我在Fortify中扫描代码时,对象comunicationWithAspRequest会导致“批量分配:不安全的活页夹配置漏洞”。可以控制在绑定过程中使用哪些HTTP请求参数,而忽略哪些参数?

Ben*_*eng 5

您可以参考使用Roo在Spring MVC中阻止批量分配问题。

您可以使用Spring MVC提供的@InitBinder@InitBinder将为json和bean映射指定白名单。

根据我的经验,我使用@RequestBody进行自动绑定。我需要添加@JsonIgnore来指定不包含在映射中的属性。

SimpleController.java

@RequestMapping(value="/simple")
public String simple(@Valid @RequestBody User user){
   simpleService.doSomething();
}
Run Code Online (Sandbox Code Playgroud)

User.java

public class User{
   private String name;

   @JsonIgnore
   private String dummy;

   public void getName(){return name;}
   public void setName(name){this.name = name;}
   public void getDummy(){return dummy;}
   public void setDummy(dummy){this.dummy= dummy;}

}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

12414 次

最近记录:

7 年,7 月 前
如何解决批量分配:Java中不安全的活页夹配置(API滥用,结构化) 6
更多相关链接
相关归档
Java的隐藏功能 295
什么是数据库池? 108
从HttpServletRequest获取POST请求正文 90
获取迭代器的计数/长度/大小的最佳方法是什么? 89
我在哪里可以找到基于Trie的标准Map实现? 73
使用Serializable通过intent传递数据 66
春天自我注射 58
线程安全单例类 58
使用Gson序列化和反序列化枚举 58
如何在Java中手动配置DataSource? 43
难疑归档
event.preventDefault()与return false 2891
显式关键字是什么意思? 2753
什么是C ??!??!操作员呢? 1911
.gitignore和.gitkeep有什么区别? 1776
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
在Visual Studio中使用Git 1452
你怎么能加速Eclipse? 1258
将文本粘贴到vim时关闭自动缩进 1119
什么是在Vim中评论/取消注释行的快速方法? 1081