如何解决CWE 117问题

Question

我有一个CWE 117问题报告在我的产品。

CWE 117的问题是，软件没有正确地净化或不正确地消毒写入日志的输出，我得到的一个可能的解决方案是在日志记录时添加以下内容。

String clean = args[1].replace('\n', '_').replace('\r', '_');

log.info(clean);

我的问题是，在log4j中是否有任何中心位置可以解决这个问题？

Answer 1

负责序列化日志消息的是Layout，在这里，换行符转换代码属于这里。

我建议创建自己的(琐碎的) PatternLayout子类来完成转换。这也在Log4j邮件列表这里中进行了讨论。下面是该线程中建议的解决方案的稍微修改的版本：

import org.apache.log4j.PatternLayout;
import org.apache.log4j.spi.LoggingEvent;

public class NewLinePatternLayout extends PatternLayout {

    public NewLinePatternLayout() { }

    public NewLinePatternLayout(String pattern) {
        super(pattern);
    }

    public boolean ignoresThrowable() {
        return false;
    }

    public String format(LoggingEvent event) {
        String original = super.format(event);

        // Here your code comes into play
        String clean = original.replace('\n', '_').replace('\r', '_');

        StringBuilder sb = new StringBuilder(clean);

        String[] s = event.getThrowableStrRep();
        if (s != null) {
            for (int i = 0; i < s.length; i++) {
                sb.append(s[i]);
                sb.append('_');
            }
        }
        return sb.toString();
    }
}

相关问题(有可能有用的答案)：

• LOG4J:使用自定义附录程序修改记录的消息