从JavaWeb危险字符过滤浅谈ESAPI使用

最新推荐文章于 2024-02-05 10:31:22 发布
VIP文章 最新推荐文章于 2024-02-05 10:31:22 发布
阅读量7.4k 收藏 4
点赞数
分类专栏: Coding 文章标签: security 安全相关 javaee reference application
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dipolar/article/details/8021402
版权

      事先声明:只是浅谈,我也之用了这个组件的一点点。

      又到某重要XX时期(但愿此文给面临此需求的同仁有所帮助),某Web应用第一次面临安全加固要求,AppScan的安全测试报告还是很清爽的,内容全面,提示建议到位,而且是中午哦,当然有的中文明显狗屁不通。

      之前此应用的后端架构相对比较稳固,所以出的重要问题主要出在靠近前端方向的问题,一些类似输出过滤这样的动作做的不到位,需要引入比较成熟的代码专门干这些活,翻了一下吴瀚清的同学《白帽子谈Web安全》推荐了OWASP的ESAPI,这个东西全面叫Enterprise Security API,官网地址:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 到其主页上看看,好像提供了不少语言的分支版本,我就下了个JavaEE的版本,这个玩意功能很强大,直接来官方文档的特性列表吧:

The features in this release of ESAPI for Java EE include:
	ESAPI Core components
		ESAPI locator and interface classes.
		ESAPI security control reference implementations for the following security controls:
		Authentication
		Ide
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java XSS防护esapi
时光的脚印
09-22 1万+
跨站脚本攻击的防御主要考虑过滤用户输入,和后台输出。 1. 过滤用户输入: 对所有后台请求使用filter过滤,在filter中将request中有隐患的关键字过滤掉,由于request中值不能直接修改,所以对request使用装饰者模式,filter代码如下: import java.io.IOException; import javax.servlet.Filter;
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
elasticsearch-java api之过滤
热门推荐
赶路人儿
12-05 1万+
一、过滤相关点: 1、查询与过滤: Elasticsearch 使用的查询语言(DSL) 拥有一套查询组件,这些组件可以以无限组合的方式进行搭配。这套组件可以在以下两种情况下使用过滤情况(filtering context)和查询情况(query context)。 当使用过滤情况 时,查询被设置成一个“不评分”或者“过滤”查询。即,这个查询只是简单的问一个问题:“这篇文档是否匹配
【ES】JavaAPI学习-06 条件查询 分页查询 结果排序 字段过滤
锥栗的博客
04-24 1435
前言 本节主要实现条件查询,分页查询,查询结果排序,字段过滤。 实现 条件查询 ESTest_Doc_Cond_Query.java package com.zwy.es; import org.apache.http.HttpHost; import org.elasticsearch.action.search.SearchRequest; import org.elasticsearch.action.search.SearchResponse; import org.elasticsearch..
程序员科普小课堂:应用安全防护ESAPI
最新发布
hwxiaozhi的博客
02-05 1128
是一个免费、开源的web应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库旨在使程序员更容易对现有应用程序进行安全性改造。ESAPI库也是新开发的坚实基础。有一组安全控制接口。例如,定义了传递给安全控件类型的参数类型。每个安全控制都有一个参考实现。例如:基于字符串的输入验证。
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 3755
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
Elastic stack技术栈学习(十)— springboot集成ES API详解
qq_44886213的博客
03-12 6324
在test里测试一下各个API。 打开es,也运行es-head,方便观察。 一、关于索引的API详解 这里的client对ES发出请求,就相当于我们的kibana。 1.1 声明客户端 @SpringBootTest class SpringEsApiApplicationTests { @Autowired @Qualifier("restHighLevelClient") private RestHighLevelClient client; //加上@@Qualifier,就可以
ESAPI】WEB安全ESAPI使用
后端研发工程师Marion的博客
03-30 3953
ESAPI可以使用构建工具如Maven和Gradle进行安装,也可以手动下载jar包后导入到项目中。ESAPI的配置文件需要在classpath中或指定的位置中定义路径。同时,如果您需要记录日志,您还需要定义日志记录器和日志格式。ESAPI提供了多种输入验证API,提供对XSS攻击和SQL注入攻击等的防护。这将验证输入是否有效。它通过检查输入的长度和字符集来防止XSS攻击和SQL注入攻击。ESAPI提供了多种加密API,可以用于密码和数据的加密。
NC65 ESAPI 报“ Failed to load ESAPI.properties as a classloader resource.“的解决办法
u010741112的博客
10-31 2597
NC6在开发时,可能报:Failed to load ESAPI.properties as a classloader resource或者ESAPI.properties could not be loaded by any means.Fail.等错误
ESAPI自定义配置文件路径
Aaron-x的博客
03-07 4089
原文链接 文章目录 前言 一、pom依赖 二、ESAPI配置文件 1.ESAPI.properties 2.validation.properties 3.esapi-java-logging.properties 4.antisamy-esapi.xml 5.配置文件放置位置 6.自定义配置文件路径,封装ESAPI方法 一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId>
javaweb中Filter(过滤器)的常见应用
09-03
主要介绍了javaweb中Filter的常见应用,过滤器的使用方法,感兴趣的小伙伴们可以参考一下
导入JavaWeb 项目出现的问题
08-26
主要介绍了导入JavaWeb 项目出现的问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JavaWeb之Filter过滤器详解
08-31
本篇文章主要介绍了JavaWeb之Filter过滤器详解,实例分析了JavaWeb之Filter过滤器的使用技巧,非常具有实用价值,需要的朋友可以参考下。
使用ES+JavaWeb实现关键词索引相关文章内容
08-17
使用ES+JavaWeb实现关键词索引相关文章内容
javaweb开发常用api文档合集
12-06
好东西一起分享,增进技术能力,不断加强学习,这是当初从传智播客学校分享的文档
【已解决】Failed to load ESAPI.properties as a classloader resource.
努力,学习!
03-26 2351
NC65在单据中点击查询时报错 解决办法: 在调试配置中设置VM自变量加上-Dorg.owasp.esapi.resources=${FIELD_NC_HOME}/ierp/bin/esapi
ESAPI简介
peterxiaoq的专栏
06-14 6182
ESAPI简介  ESAPI是一个免费、开源的Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。     ESAPI是OWASP组织的一个开源项目,网址是: http://www.owasp.org/index.php/ESAPI     ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计: 具有一个安全接口集; 对每一种安全
ES基础篇 常用API之搜索API(URL搜索)
u010088278的博客
06-24 3087
该篇主要介绍ES的URL搜索方式,主要介绍一些常用的参数和使用方法
ES状态查询相关API
spirit_8023的博客
08-15 3838
elasticsearch api
javaweb项目使用pmd API
06-01
要在 Java Web 项目中使用 PMD API,可以按照以下步骤进行操作: 1. 在 pom.xml 文件中添加 PMD 依赖: ``` <groupId>net.sourceforge.pmd</groupId> <artifactId>pmd-core <version>6.30.0 ``` 2. 创建 PMD...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值