亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

HTTP 標頭中 CRLF 序列的不正確中和

HTTP 標頭中 CRLF 序列的不正確中和

繁星coding 2022-10-07 16:37:26
我在我的項目上運行了 Veracode 掃描,它在 HTTP 響應拆分下給了我 CWE ID 113 問題。我試圖通過那里的建議解決問題,但沒有奏效。例如try    {        String selNhid = req.getParameter("selNhid");        String redirectURL = "/nhwhoods?action=membersNH&selNhid="+selNhid;         res.sendRedirect(req.getContextPath() + redirectURL);    }    catch (Exception e)    {        e.printStackTrace();    }上面的代碼來自文件之一。并報告在線顯示錯誤res.sendRedirect(req.getContextPath() + redirectURL);任何建議,如何解決問題?
查看完整描述

3 回答

?
慕慕森

TA貢獻1856條經驗 獲得超17個贊

selNhid 缺少 URL 編碼。

String redirectURL = "/nhwhoods?action=membersNH&selNhid="
        + URLEncoder.encode(selNhid, StandardCharsets.UTF_8);

以上假設您正在使用 UTF-8?,F在討厭的內容將被解除為 %XX 字節。


查看完整回答
反對 回復 2022-10-07
?
揚帆大魚

TA貢獻1799條經驗 獲得超9個贊

這可以使用 ESAPI 2.1.0.1 庫修復:


import org.owasp.esapi.ESAPI;


ESAPI.httpUtilities().setHeader(response, param, value);

ESAPI.httpUtilities().addCookie(response, cookie);


查看完整回答
反對 回復 2022-10-07
?
慕斯709654

TA貢獻1840條經驗 獲得超5個贊

就像錯誤消息所暗示的那樣,從 redirectURL 參數中刪除 CRLF 序列怎么樣?

一個簡單的.replaceAll("[\\r\\n]+", "")應該做到這一點。


查看完整回答
反對 回復 2022-10-07
  • 3 回答
  • 0 關注
  • 148 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號