热门标签
热门文章
- 1分组UITableVie
- 2tomcat+myeclipse+mysql环境搭建_搭建myeclipse+tomcat+mysql网站开发环境
- 3TCP/IP协议以及UDP(超详细,看这一篇就够了)_tcp/ip udp
- 4python import re_彻底搞懂Python 中的 import 与 from import
- 5分布式文件存储FastDFS_分布式文件存储选型 fastdfs
- 6RecylerView布局管理器LayoutManager(详解)_recyclerview layoutmanager
- 7重要开源协议的比较(BSD,Apache,GPL,LGPL,MIT) – 整理_bsd3
- 8python class类里给列表排序_Python sorted对list和dict排序
- 9python 数据库框架peewee_Python框架--Peewee使用
- 1023年最新版pycharm找不到conda可执行文件解决办法
当前位置: article > 正文
http响应拆分漏洞 java_如何使用ESAPI修复HTTP响应拆分漏洞
作者:凡人多烦事01 | 2024-02-27 05:53:23
赞
踩
sendredirect存在http响应拆分漏洞
在最近运行findbugs(fb)之后,它抱怨一个:security-http响应拆分漏洞,以下代码触发它:String referrer = req.getParameter("referrer");
if (referrer != null) {
launchURL += "&referrer="+(referrer);
}
resp.sendRedirect(launchURL);
基本上,“referer”http参数包含一个url,当单击应用程序中的后退按钮时,浏览器将返回到该url。它作为参数附加到url。经过一番研究,我知道我需要清理推荐人的网址。经过更多的研究,我发现esapi项目似乎提供了这种功能:
//1st canonicalize
import org.owasp.esapi.Encoder;
import org.owasp.esapi.Validator;
import org.owasp.esapi.reference.DefaultEncoder;
import org.owasp.esapi.reference.DefaultValidator;
[...]
Encoder encoder = new DefaultEncoder(new ArrayList());
String cReferrer = encoder.canonicalize(referrer);
但是我不知道如何检测例如jscript代码或其他不属于referer url的东西。那我怎么能用伊萨皮做到这一点呢?
我试过:
Val
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/凡人多烦事01/article/detail/150520
推荐阅读
相关标签
