Veracode问题CWE 915

Question

我在我的ASP.NET核心web中有一个POST方法，它以模型作为参数(将POST内容直接绑定到模型)。模型包含所有参数作为可选参数。在使用Veracode扫描web服务时，我发现CSE 915 (由于ErrorReporter服务原因输入不足)的缺陷-1。这是MVC EF应用程序的可能场景。

我已经通过了文章。它是指在包含和排除属性时使用Bind属性。但是在我的例子中，我没有任何强制传递模型的参数。

是否有其他方法可以解决此问题或使用任何属性来删除代码本身中此特定方法的Veracode扫描。

Answer 1

输入不足验证是由于直接使用用户输入进行决策而导致的，并且可以通过清理所获得的输入来克服。

var userInput = new Sanitize(userInput).Value;

此清洁方法可以放在项目的适当类中。

public Sanitize(dynamic input)
{
    string inputValue = Convert.ToString(input);
    Value = inputValue.Replace("<", "").Replace(">", "");
}