个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我正在使用 Checkmarx 分析我的项目,唯一剩下的中等严重性项目是 Missing_HSTS_Filter,目标名称是 HSTSFilter。在我的 web.xml 中,我有:
<filter>
<filter-name>HSTSFilter</filter-name> <!-- checkmarx says problem is here -->
<filter-class>c.h.i.c.web.security.HSTSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
HSTSFilter 类:
public class HSTSFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
HttpServletResponse resp = (HttpServletResponse) res;
if (req.isSecure())
resp.setHeader("Strict-Transport-Security", "max-age=31622400; includeSubDomains");
chain.doFilter(req, resp);
}
}
所以我尝试了其他方法,因为我使用的是 Tomcat 7,所以我尝试在 web.xml 中添加以下内容:
<filter> <!-- checkmarx now complains here -->
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>hstsMaxAgeSeconds</param-name>
<param-value>31622400</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
Checkmarx 仍然提示,说这次的目标名称是 StatementCollection。我不明白这是什么意思。
我错过了什么?
最佳答案
奇怪的事情。您确实使用了正确的配置。根据这个 Checkmarx 规则,我在某些扫描中发现了很多误报。无论如何,尝试将此行添加到过滤器配置中的 web.xml 中:
<init-param>
<param-name>hstsIncludeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>hstsEnabled</param-name>
<param-value>true</param-value>
</init-param>
关于java - checkmarx 报告中缺少 HSTS header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58215452/
28
4
0
我正在使用 CLI 工具运行 checkmarx 扫描。我一直在安装了 Windows 的本地计算机上运行它,并且运行良好。每当我尝试从安装了 Windows 的 VM 运行完全相同的命令时,就会出现
Checkmarx - v 9.3.0 HF11 我将 env 值作为数据目录路径传递到 dev/uat 服务器中使用的 docker 文件中 ENV DATA /app/data/ 在本地,使用以下
我正在使用Checkmarx安全工具扫描我的代码,它说当我对数据库执行executeUpdate()命令时,这是“不正确的资源访问授权”。 各种谷歌搜索都没有成功。 int rowInserted =
我的安全配置中有 csrf().disable() ,并且 checkmarx/Sonar/Veracode 扫描对此有所提示。 除了使用 security.enable-csrf(已被弃用)之外,还
有谁知道如何修复 Checkmarx 漏洞——基于 Java 的应用程序的跨站点历史操作?以下是 Checkmarx 扫描提供的描述——“该方法可能会泄露服务器端条件值,从而使用户能够从另一个网站进行
在使用 checkmarx 扫描代码以查找安全漏洞时,报告了一个指向变量名的隐私侵犯问题。 public const string Authentication = "authentication"
我有一个 REST Controller ,它有一个接受两个参数的方法 deleteStudentstudentId 为 Long,section 为 String。 @RequestMapping(
try { //code } catch (ParseException e) { e.printStackTrace(); } catch (MalformedURLExceptio
你好!我担心 checkmarx 扫描的可靠性。 我创建了一个只有两个文件的 checkmarx 项目: library.minified.js library.formatted.js 我用过bea
我有一个从客户端接收字符串的端点,如下所示: @GET @Path("/{x}") public Response doSomething(@PathParam("x") String x) {
任何人都可以建议以下 getCourses 方法中 courseType 变量所需的正确清理/验证过程。我正在使用该变量写入日志文件。 我试过 HtmlUtils.HtmlEscape() 但没有得到
Checkmarx 提示存在未经验证的数据库输出。一般如何验证数据库输出? 最佳答案 通常,您必须对发送回客户端的数据进行编码。根据您的代码,有很多解决方案。 参见https://github.com
Checkmarx 为我的 Controller 类中的以下方法提供了 XSS 漏洞。具体来说:该元素的值 (ResultsVO) 然后在没有经过适当清理或验证的情况下流经代码,并最终在方法中显示给用
我正在使用 Checkmarx 安全工具扫描我的代码。我得到: Improper Access Control Authorization 在将数据从文件写入输出流时使用读/写方法。 private
我正在为我的一个项目运行 CheckMarx 扫描,它针对方法的输入字符串参数之一存在 SSRF 漏洞。我的方法如下所示,参数 param1 抛出 SSRF 漏洞。 public String met
Checkmark 扫描了我们的代码并显示这些代码存在二阶注入(inject)的风险像这样的代码 @SuppressWarnings("unchecked") public List> findByS
我正在使用 Checkmarx 分析我的项目,唯一剩下的中等严重性项目是 Missing_HSTS_Filter,目标名称是 HSTSFilter。在我的 web.xml 中,我有: HST
CheckMarx 正在标记一个对我来说看起来像是误报的错误。我们的应用程序是用 C# 编写的,并使用 ASP.NET Core。 错误是: The web application's Startup
我计划使用 Checkmarx 的 KICS 扫描 Terraform 基础设施代码。这是我在网上获取的示例 https://docs.kics.io/1.3.1/integrations_azure
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 去年关闭。 Improve this
我是一名优秀的程序员,十分优秀!