ESAPI配置方法

最新推荐文章于 2024-08-22 08:53:31 发布
最新推荐文章于 2024-08-22 08:53:31 发布
阅读量7.5k 收藏 20
点赞数 2
分类专栏: Veracode 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40260565/article/details/121181387
版权
这篇博客详细介绍了如何配置和使用OWASP ESAPI,包括导入必要的jar包,创建ESAPI.properties和Validator.properties配置文件,并解释了这些配置属性的作用。ESAPI是一个用于防止常见Web应用安全漏洞的库,通过合理的配置,可以增强应用程序的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ESAPI配置方法

一、导入jar包

<!-- https://mvnrepository.com/artifact/org.owasp.esapi/esapi -->
 <dependency>
     <groupId>org.owasp.esapi</groupId>
     <artifactId>esapi</artifactId>
     <version>2.2.1.1</version>
 </dependency>

二、在resource文件夹下添加ESAPI.properties配置文件

ESAPI.printProperties=true
ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder
ESAPI.Logger=org.owasp.esapi.logging.slf4j.SLF4JLogFactory
Logger.LogApplicationName=true
Logger.LogEncodingRequired=false //如果选择为true,打印出来的日志,比如{}这种特殊符号会被encode
Logger.UserInfo=true
Logger.ClientInfo=true
Logger.LogServerIP=false
Logger.ApplicationName=【你的项目名字】
HttpUtilities.ApprovedUploadExtensions=.csv,.xls,.xlsx,.zip

三、ESAPI.properties配置属性说明

原文档github地址: https://github.com/ESAPI/esapi-java-legacy/blob/develop/configuration/esapi/ESAPI.properties

四、在resource文件夹下添加Validator.properties配置文件

原文档github地址: https://github.com/ESAPI/esapi-java-legacy/blob/develop/configuration/esapi/validation.properties

# The ESAPI validator does many security checks on input, such as canonicalization
# and whitelist validation. Note that all of these validation rules are applied *after*
# canonicalization. Double-encoded characters (even with different encodings involved,
# are never allowed.
#
# To use:
#
# First set up a pattern below. You can choose any name you want, prefixed by the word
# "Validation." For example:
#   Validation.Email=^[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\\.[a-zA-Z]{2,4}$
# 
# Then you can validate in your code against the pattern like this:
#     ESAPI.validator().isValidInput("User Email", input, "Email", maxLength, allowNull);
# Where maxLength and allowNull are set for you needs, respectively.
#
# But note, when you use boolean variants of validation functions, you lose critical 
# canonicalization. It is preferable to use the "get" methods (which throw exceptions) and 
# and use the returned user input which is in canonical form. Consider the following:
#  
# try {
#    someObject.setEmail(ESAPI.validator().getValidInput("User Email", input, "Email", maxLength, allowNull));
#
Validator.SafeString=^[.\\p{Alnum}\\p{Space}]{0,1024}$
Validator.Email=^[A-Za-z0-9._%'-]+@[A-Za-z0-9.-]+\\.[a-zA-Z]{2,4}$
Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$
Validator.URL=^(ht|f)tp(s?)\\:\\/\\/[0-9a-zA-Z]([-.\\w]*[0-9a-zA-Z])*(:(0-9)*)*(\\/?)([a-zA-Z0-9\\-\\.\\?\\,\\:\\'\\/\\\\\\+=&;%\\$#_]*)?$
Validator.CreditCard=^(\\d{4}[- ]?){3}\\d{4}$
Validator.SSN=^(?!000)([0-6]\\d{2}|7([0-6]\\d|7[012]))([ -]?)(?!00)\\d\\d\\3(?!0000)\\d{4}$
ESAPI入门使用方法
ru_li的专栏
05-19 4万+
一、介绍ESAPI 二、所需要的软件 我下载后的文件放置在  【E:\软件源文件 】中 三、使用方法   1.将下载好的文件解压。解压的文件依旧在【E:\软件源文件】  2.将文件下列文件加入到                     1)E:\软件源文件\esapi-2.1.0-dist \ esapi-2.1.0.jar
ESAPI使用方法
11-16
### ESAPI 使用方法详解 #### 一、ESAPI 概述 **ESAPI**(Enterprise Security API),全称为 **OWASP Enterprise Security Application Programming Interface**,是OWASP组织为提高Web应用安全性而推出的一个免费...
esapi配置文件
08-06
在网上都是esapi包,此处将esapi的3个配置文件打包上传,方便各位配置
Spring集成ESAPI
苏北讲道理给你听
05-16 4219
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
ESAPI配置文件自定义路径
Utrix的博客
04-15 5073
文章目录前言一、pom依赖二、ESAPI配置文件1.ESAPI.properties2.validation.properties3.esapi-java-logging.properties4.antisamy-esapi.xml5.配置文件放置位置6.自定义配置文件路径,封装ESAPI方法 前言 网上有很多对ESAPI的上手讲解,但很少有讲的其原理通透的。我在这里梳理梳理。 一、pom依赖 <dependency> <groupId>o
把web项目部署到项目上
lq2004509的博客
12-23 316
http://www.cnitblog.com/jackmisweijie/archive/2008/08/07/47756.html weblogic简介 BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应 用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中...
es api教程
weixin_32128491的博客
09-21 721
## 环境说明 ``` 依赖springboot `2.3.0 .RELEASE` 故使用<spring-cloud.version>Hoxton.SR7</spring-cloud.version> 注意:如该版本与自己所属模块兼容有问题,请自行测试 ``` ## yml配置 ``` spring: elasticsearch: rest: uris: - http://172.16.0.139:9300 u...
ESAPI自定义配置文件路径
Aaron-x的博客
03-07 5268
原文链接 文章目录 前言 一、pom依赖 二、ESAPI配置文件 1.ESAPI.properties 2.validation.properties 3.esapi-java-logging.properties 4.antisamy-esapi.xml 5.配置文件放置位置 6.自定义配置文件路径,封装ESAPI方法 一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId>
ESAPI使用
yu_ber的博客
08-08 1301
【代码】ESAPI使用。
esapi-java-legacysource-esapi-2.1.0.1.zip
02-13
开发者在使用ESAPI时,需要将其引入到项目中,并根据具体需求配置和调用相应的API。这通常涉及到创建安全策略文件,设置验证规则,以及在业务逻辑中插入安全控制。 **5. 注意事项:** 虽然ESAPI提供了很多安全功能...
ESAPI加使用方法文档
11-03
esapi-2.1.0及其具体使用方法,手把手教你实施部署,绝对避免你出错
ESAPI for java 说明
04-13
ESAPI for java 说明
esapi-2.1.0.1_esapi-2.1.0.1_
10-02
提供ESAPI jar包下载 esapi-2.1.0.1.jar
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
然后,我们可以在控制器方法中使用ESAPI进行输入验证和转义: ```java import org.owasp.esapi.ESAPI; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind....
ESAPI配置文件属性说明原文档
qq_40260565的博客
11-06 3600
ESAPI配置文件属性说明原文档 由于经常连不上github,索性就从github上直接copy下来了,git地址:https://github.com/ESAPI/esapi-java-legacy/blob/develop/configuration/esapi/ESAPI.properties # # OWASP Enterprise Security API (ESAPI) Properties file -- PRODUCTION Version # # This file is part of
esapi api
cnbird's blog
09-17 1366
http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html
ESAPI接入
u013529468的博客
08-22 4601
【代码】ESAPI接入。
ESAPI Java 开源项目教程
最新发布
gitblog_00454的博客
08-22 541
ESAPI Java 开源项目教程 项目地址:https://gitcode.com/gh_mirrors/es/esapi-java 1. 项目的目录结构及介绍 ESAPI (Enterprise Security API) 是一个旨在帮助开发者编写安全的 Java 应用程序的开源项目。项目的目录结构如下: esapi-java/ ├── src/ │ ├── main/ │ │ ├...
ESAPi添加位置
zoran_的博客
04-11 771
-Dorg.owasp.esapi.resources=${FIELD_NC_HOME}/ierp/bin/esapi 在项目的jre中添加*
ESAPI springboot配置
07-19
在Spring Boot中集成ESAPI,你可以通过以下步骤进行配置: 1. **添加依赖**:首先,你需要在你的`pom.xml`文件中添加ESAPI的Spring Bootstarter依赖。例如: ```xml <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi-spring-boot-starter</artifactId> <version>{latest_version}</version> </dependency> ``` 2. **启用自动配置**:ESAPI Spring Boot Starter会自动配置ESAPI的bean,包括验证器、编码器等。 3. **配置文件**:在`application.properties`或`application.yml`中,你可以调整一些默认设置,比如数据库连接信息、编码策略等。例如: ``` esapi.datasource.url=jdbc:mysql://localhost/mydb esapi.encoder.encodingPolicy=UTF-8 ``` 4. **使用ESAPI组件**:在Spring Boot应用中,只需注入ESAPI的bean,就可以开始使用它的组件了。比如,创建一个控制器: ```java @RestController public class MyController { private final Esapi esapi; @Autowired public MyController(Esapi esapi) { this.esapi = esapi; } @PostMapping("/secure") public String secureData(@RequestParam String userInput) { // 使用ESAPI验证用户输入 return esapi.encoder().encodeForHTML(userInput); } } ``` 5. **初始化和定制**:如果你需要进一步定制ESAPI的行为,可以在启动类上添加`@EnableEsapi`注解,并覆盖默认的初始化器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值