gpt4 book ai didi

javascript - 用于用户名验证的 java 和 javascript 之间的正则表达式差异

转载 作者:行者123 更新时间:2023-11-29 23:22:17 25 4
gpt4 key购买 nike

目前我们正在实现 WSO2 身份服务器,我正在检查配置。我的目标是在用户名中启用空格。这些在默认情况下是不允许的,并且受某些正则表达式的保护。我不明白为什么前端和后端的正则表达式存在差异。

这是从 repository/conf/user-mgt.xml 中摘取的片段:

<Property name="UsernameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="UsernameJavaScriptRegEx">^[\S]{3,30}$</Property>
<Property name="PasswordJavaRegEx">^[\S]{5,30}$</Property>
<Property name="PasswordJavaScriptRegEx">^[\S]{5,30}$</Property>
<Property name="RolenameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="RolenameJavaScriptRegEx">^[\S]{3,30}$</Property>

首先,我不明白为什么前端/后端的用户名/Angular 色名的正则表达式不同而密码的正则表达式相同?他们不应该对后端/前端使用相同的正则表达式吗?当前的示例和文档有点奇怪。例如,前端接受包含“:”的用户名,而后端不接受?

第二件事是我不确定我是否只是通过允许一个空白作为这些正则表达式的一部分来打破事情(不好的做法?)。

[a-zA-Z0-9._\-|//]{3,30}$    ==>    [a-zA-Z0-9 ._\-|//]{3,30}$
^[\S]{3,30}$ ==> ^[\S ]{3,30}$

是否有某种用于用户名验证的 OWASP 最佳实践?到目前为止我还没有找到任何东西......

欢迎提供任何帮助或信息。

最佳答案

是的,你是对的。如果您不想在填写表单上浪费用户时间,那么它们应该是相同的,或者这无关紧要,因为一个正则表达式限制了另一个正则表达式,有时人们在确定传入数据时不会费心再次验证.但是在您的情况下,前端使用了一个可以修改的,因此后端使用的应该是精确的。

似乎 Java 中使用的正则表达式允许在用户名中使用特殊字符,例如竖线 | 和斜杠 /。对于这种不一致的正则表达式用法,您应该确认这是一种需要或要求。

无论使用哪种方法,这个正则表达式 [a-zA-Z0-9._\-|//]{3,30}$ 单独允许用户名超过 30字符 long 跟随任何类型的字符,因为没有定义字符串 anchor ^ 的开头(您可能需要它)。

Is there some kind of OWASP best practice...

是的,有。只是不要验证奇怪的字符,即 \x00

作为旁注,您将密码限制在一定长度内 which you shouldn't .

关于javascript - 用于用户名验证的 java 和 javascript 之间的正则表达式差异,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50249476/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com