Проверка ввода текста в веб-формах с помощью esapi

Как я могу использовать ESAPI для проверки небезопасных вводимых текстов в веб-формах? Мое приложение построено с использованием Struts 1.X, поэтому я предполагаю, что проверки должны быть добавлены в классы Actions. Какие образцы / учебники вы рекомендуете? Благодарю.

3 ответа

Решение

Для чего-то более специфического, чем обычно, не будет хороших уроков.

Надеюсь, я ошибаюсь по этому поводу, но я бы предложил их вики из-за нехватки хороших ресурсов.

Я искал подтверждение ввода для вас... кажется, что они даже не имеют этого сами. Я также не могу найти никакой информации об этом. Видео ниже может иметь его, или я отправил бы им по электронной почте, если он не дает действительно хорошего ответа. Они должны быть в состоянии направить вас в правильном направлении... и если вы сделаете это, сделайте нам одолжение и потребуйте, чтобы они обновили свою вики!

Электронная почта: jeff.williams%owasp.org@gtempaccount.com (руководитель, владелец)

Так как это письмо не выглядит правильным, хотя я бы тоже проверил это.

Электронная почта: kevin.w.wall@gmail.com (владелец, кодер крипто-библиотек)

Это видео на YouTube, которые могут помочь. Они даже отметили, что их не так много, чтобы научить вас использовать ESAPI, но сказали, что надеются исправить это в этих четырех видеороликах.

  1. http://www.youtube.com/watch?v=suphwAsb-To
  2. http://www.youtube.com/watch?v=13O9RyjuB3o
  3. http://www.youtube.com/watch?v=_B2kv2mSJhE
  4. http://www.youtube.com/watch?v=mMW4fiUI5kQ

Надеюсь, это помогло!

Проверка полей формы обычно выполняется в классе ActionForm. Доступны все входные значения, и все проверки могут быть выполнены там. Учебное пособие (одно из многих доступных) может быть найдено здесь. Struts формы проверки и обработки ошибок. Больше можно найти с помощью Google (проверка стойки).

Я работаю с библиотекой ESAPI уже несколько месяцев. Библиотека не может сделать слишком много для проверки вашего ввода, так как она не может знать, каким может быть или должен быть ввод. Это особенно верно, когда вы учитываете все международные символы, которые могут быть в законном пользовательском вводе.

Мы используем библиотеку ESAPI в основном для кодирования выходных данных сервера. Цель состоит в том, чтобы отправить пользовательский (или возможный злоумышленник) ввод обратно в браузер таким образом, чтобы он не мог быть выполнен. Вместо этого HTML или JavaScript интерпретирует его только как текст.

Вот почему как моя проверка, так и кодировка пользовательского ввода ESAPI важны для безопасности.

Другие вопросы по тегам