java - HTTP header 中 CRLF 序列的不当中和

标签 java xss veracode

我对我的项目运行了 Veracode 扫描,它在 HTTP 响应拆分下给了我 CWE ID 113 问题。我试图通过那里的建议解决问题,但没有奏效。例如

try
    {
        String selNhid = req.getParameter("selNhid");
        String redirectURL = "/nhwhoods?action=membersNH&selNhid="+selNhid;
         res.sendRedirect(req.getContextPath() + redirectURL);
    }
    catch (Exception e)
    {
        e.printStackTrace();
    }

以上代码来自其中一个文件。并报告显示行错误

res.sendRedirect(req.getContextPath() + redirectURL);

有什么建议,如何解决这个问题?

最佳答案

如何从 redirectURL 参数中删除 CRLF 序列,就像错误消息所建议的那样?

一个简单的 .replaceAll("[\\r\\n]+", "") 就可以了。

关于java - HTTP header 中 CRLF 序列的不当中和,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55705862/

上一篇:java - 发出请求时无法忽略可选查询参数

下一篇:java - CRLF 序列 ('CRLF Injection' 的不当中和)(CWE ID 93)

相关文章:

java - java删除文件后如何释放资源?

java - 程序认为两个相等的 double 是不同的

security - 很好理解CSRF的棘手问题

java - 如何修复 CWE-470 : Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection' )

login - Google 全局登录如何运作?

javascript - 清理提交的 URL

java - 信任边界违规 - Veracode 缺陷

java - 为什么用不同的类型参数多次实现一个泛型接口(interface)是不可能的?

java - 如何将 JSON 转换为 Java 集合

java - 在 Linux 上安装 eclipse mars

©2024 IT工具网  联系我们