强化 json 注入问题修复

【问题标题】:fortify json injection issue fix强化 json 注入问题修复
【发布时间】:2019-09-26 22:58:47
【问题描述】:

我们想使用 Gson 反序列化 json 字符串。我从 Web 服务获取 json,我将其转换为字符串,然后使用 gson 库将其设置为模型对象。在 Fortify 安全性上运行代码时,它在下面的代码上给了我 Json 注入错误,并带有以下消息:

数据被写入 JSON 流。在这种情况下,JSON 被写入 通过 fromJson()

Gson gson = new Gson();
MyObject obj = gson.fromJson(jsonString, MyObject.class);

您有什么解决方案推荐吗?

【问题讨论】:

    标签: java security spring-security fortify


    【解决方案1】:

    您的问题可能与那个“jsonString”变量有关。它从哪里来?你相信这个来源还是来自用户输入?

    【讨论】:

    • 不,它来自网络服务。 “信任”是什么意思?
    • 当您从用户输入中获取一些信息时,您需要对其进行验证。检查 OWASP 原则“不信任用户输入”:owasp.org/index.php/Don%27t_trust_user_input
    猜你喜欢
    • 2022-07-14
    • 2018-10-13
    • 2017-07-13
    • 2021-10-13
    • 2018-04-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode