我对我的项目运行了 Veracode 扫描,它在 HTTP 响应拆分下给了我 CWE ID 113 问题。我试图通过那里的建议解决问题,但没有奏效。例如
try
{
String selNhid = req.getParameter("selNhid");
String redirectURL = "/nhwhoods?action=membersNH&selNhid="+selNhid;
res.sendRedirect(req.getContextPath() + redirectURL);
}
catch (Exception e)
{
e.printStackTrace();
}
以上代码来自其中一个文件。并报告显示行错误
res.sendRedirect(req.getContextPath() + redirectURL);
有什么建议,如何解决这个问题?
最佳答案
如何从 redirectURL 参数中删除 CRLF 序列,就像错误消息所建议的那样?
一个简单的 .replaceAll("[\\r\\n]+", "")
就可以了。
关于java - HTTP header 中 CRLF 序列的不当中和,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55705862/