Veracode 扫描安全问题记录(搞了很久)
上图是扫描的结果,提示我们是URL的问题,虽然大概知道是URL出问题了,但是怎么去解决这个URL还是一头雾水
下图是出错的请求方法,这里是调用第三方的接口一个Http的工具类,就不贴整个代码了,理解理解。
上面两张图中第一张图是拼接好请求路径然后封装一下传递给第二张图执行http的请求,出错的原因就是第一步,URL的字符串拼接。为啥被扫描出安全问题呢?我个人的理解就是,手动字符串的拼接会导致很多意想不到的问题,工具扫描毕竟没有那么智能,但是至少能识别出来你一大堆的无用操作。
下图附加一张解决参数拼接的问题
请尽量使用工具包提供的方法来玩耍,不要手写一堆无用的方法来增加意料不及的惊喜。
不要问我为什么判断map不用CollectionUtils工具方法,因为这个代码也不是我写的。哈哈哈