作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们使用 S4 SDK 的 CloudLoggerFactory 记录整个应用程序的异常。对于类“SampleClass”,我们创建一个这样的记录器:
private static final Logger logger = CloudLoggerFactory.getSanitizedLogger(SampleClass.class, "(END)");
并为异常 e 调用它:
logger.error(e.getMessage(), e);
Veracode 扫描显示此日志行容易受到 CLRF 注入(inject)攻击。据我了解,getSanitizedLogger 与“(END)”参数相结合应该可以解决这个问题。你能提供一些关于这个问题的见解吗?
提前致谢!
最佳答案
实际上,我们计划在即将发布的主要版本中删除日志清理功能。
我们得出的结论是,它实际上给人一种错误的安全感,应该在记录器实现级别解决这个问题,而我们不能在 SDK 级别解决这个问题,因为我们只依赖于 Slf4j 抽象。
(免责声明:我是 SAP Cloud SDK 开发人员之一。)
关于s4sdk - CloudLoggerFactory 的 Sanitized Logger 在 Veracode Scan 中显示 CRLF 注入(inject)漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54785696/
我们使用 S4 SDK 的 CloudLoggerFactory 记录整个应用程序的异常。对于类“SampleClass”,我们创建一个这样的记录器: private static final Log
我是一名优秀的程序员,十分优秀!