问将验证InternetAddress对象的方法消除CRLF注入问题
EN

Stack Overflow用户

提问于 2019-06-19 09:03:30

回答 1查看 531关注 0票数 0

我用veracode扫描了这个项目，它给出了CWE ID 93(CRLF注入)的问题，这个问题发生在下面这条线-

InternetAddress[] address = {new InternetAddress(username)};
msg.setRecipients(Message.RecipientType.TO, address);

Veracode在上面代码的第二行将问题93标记出来。用户名是从请求对象(即字符串缓冲区)中解析的。

因此，我的一位同事建议我应该使用验证方法来删除CRLF字符。地址对象的验证方法会删除CRLF分隔符吗？

发布于 2019-07-09 07:27:59

使用ESAPI( OWASP企业安全API)。完全免费。

在安装ESAPI之后，下面的代码将解决这个问题。

ESAPI.encoder().decodeForHTML(用户名)

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/56663901

复制

相似问题

问将验证InternetAddress对象的方法消除CRLF注入问题EN