我正在使用 esapi-2.1.0.1v 并尝试包含 OWASP-ESAPI 过滤实用程序。 哪一个是 SafeRequest 和 SecurityWrapperRequest 之间的区别以及为以下案例添加的最佳实践:
request.getParameterMap();
return new SecurityWrapperRequest(request).getParameterMap(); //org.owasp.esapi.filters.SecurityWrapperRequest()
或
return return new SafeRequest(request).getParameterMap(); //org.owasp.esapi.filters.SafeRequest()
【问题讨论】:
标签: java owasp java-security esapi
没有 org.owasp.esapi.filters.SafeRequest 类。 (最接近的应该是 src/main/test 下的 org.owasp.esapi.filters.SafeRequestTest 类,它是一个 JUnit 测试,所以你绝对不想要 那个。)
org.owasp.esapi.filters 包中唯一实际上是 JavaEE servlet过滤器的类是:ClickjackFilter、ESAPIFilter、RequestRateThrottleFilter 和(尽管有它的名字)、SecurityWrapper(它事后看来,应该叫SecurityWrapperFilter)。 SecurityWrapper 过滤器使用 2 个类,SecurityWapperRequest 和 SecurityWrapperResponse,它们也可以用作帮助您构建自己的 JavaEe servlet 过滤器的类。
除ESAPIFilter 之外的所有内容都在https://www.javadoc.io/static/org.owasp.esapi/esapi/2.2.3.1/org/owasp/esapi/filters/package-summary.html 的Javadoc 包中进行了充分描述。 ESAPIFilter 可能对你没用,除非你使用 ESAPI Authenticator 接口。
希望能有所帮助。
【讨论】: