Блог

Я использую esapi-2.1.0.1 v и пытаюсь включить утилиту OWASP-ESAPI filter. в чем разница между SafeRequest и SecurityWrapperRequest и рекомендуется добавить для случая ниже:

запрос.getParameterMap();

верните новый запрос SecurityWrapperRequest(запрос).getParameterMap(); //org.owasp.esapi.filters.SecurityWrapperRequest()

или

возврат возврат нового запроса безопасности(запроса).getParameterMap(); //org.owasp.esapi.filters.SafeRequest()

Нет никакого org.owasp.esapi.filters.SafeRequest класса. (Ключом к этому был бы org.owasp.esapi.filters.SafeRequestTest класс в разделе src/main/test, который является тестом JUnit, поэтому вы определенно не хотите этого.)

Единственными классами в org.owasp.esapi.filters пакете, которые на самом деле являются фильтрами сервлетов JavaEE , являются: ClickjackFilter , ESAPIFilter , RequestRateThrottleFilter и (несмотря на его название), SecurityWrapper (которые, оглядываясь назад, должны были быть вызваны SecurityWrapperFilter ). Этот SecurityWrapper фильтр использует 2 класса, SecurityWapperRequest и SecurityWrapperResponse , которые также могут быть использованы в качестве классов, которые помогут вам в создании собственных фильтров сервлетов JavaEE.

Все, кроме ESAPIFilter того, адекватно описаны в пакете Javadoc по адресу https://www.javadoc.io/static/org.owasp.esapi/esapi/2.2.3.1/org/owasp/esapi/filters/package-summary.html. ESAPIFilter вероятно, это вам не пригодится, если вы не используете интерфейс ESAPI Authenticator .

Надеюсь, это немного поможет.