我正在开发一个Sping Boot REST应用程序。我必须对所有传入的请求进行身份验证。如果用户被授权,则执行正常流程。如果没有,用户将获得401 HTTP状态和自定义响应JSON。
我正在使用Servlet过滤器进行此操作
public class SecurityFilter implements Filter {@AutowiredObjectMapper objectMapper;@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)throws IOException, ServletException {HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;String apikey = httpServletRequest.getHeader(“apikey”);if(validApikey){chain.doFilter(ServletRequest, servletResponse);}else {ErrorResponse errorResponse = new ErrorResponse();errorResponse.setStatus(false);errorResponse.setReason(“provided apikey on header is unauthorized”);String errorMessage = objectMapper.writeValueAsString(errorResponse);HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;httpServletResponse.setContentType(“application/json”);httpServletResponse.setStatus(401);httpServletResponse.getWriter().write(responseJson);httpServletResponse.getWriter().flush();}
字符串
一切都按预期工作。但当我尝试部署代码Fortify扫描抱怨行
httpServletResponse.getWriter().write(responseJson);
加强消息
SecurityFilter.java通过在第50行调用write()来揭示系统数据或调试信息。write()揭示的信息可以帮助对手制定攻击计划。
当系统数据或调试信息通过套接字或网络连接离开程序到远程计算机时,就会发生外部信息泄漏。外部泄漏可以通过泄露有关操作系统、完整路径名、用户名存在或配置文件位置的特定数据来帮助攻击者,并且比内部信息泄漏更严重,后者更难被攻击者访问。
我可以在不使用httpServletResponse.getWriter().write(responseJson)的情况下获得自定义JSON响应吗?或者如何解决Fortify问题?
1条答案
按热度按时间rsaldnfx1#
我设法通过使用Jsoup库清理请求和响应来解决这个问题。
Maven依赖
字符串
更改了以下行
申请
型
to
型
回复
型
to
型