我正在测试的代码中遇到信任边界冲突。该代码在会话中添加表单,并且由于违反信任边界而存在缺陷
Inside Struts Action class execute method
{
EditForm editform = new EditForm ();
All the values are set either from databse or from request params and then the form is added to session as below
**request.getSession(false).setAttribute("EDIT_FORM", editform );**
}
我在以粗体显示的代码上遭到违反。
我怎样才能解决这个问题?我不确定在哪里添加验证。这是在Action类的execute方法内部创建的新表格,并且从request和db中填充了vaues。
最佳答案
您应该尝试esapy库,尝试类似:
ESAPI.getValidInput(...)
设置属性之前。我发现此缺陷与对象类型变量有关,这是有史以来最糟糕的事情,因为您无法验证它,因为您不知道类型。