用于用户名验证的 java 和 java 脚本之间的正则表达式差异
Regex difference between java and javascript for username validation
目前我们正在实施 WSO2 身份服务器,我正在检查配置。我的目标是在用户名中启用 spaces。这些在默认情况下是不允许的,并且受某些正则表达式的保护。我不明白为什么前端和后端的正则表达式不同。
这是摘自 repository/conf/user-mgt.xml 的片段:
<Property name="UsernameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="UsernameJavaScriptRegEx">^[\S]{3,30}$</Property>
<Property name="PasswordJavaRegEx">^[\S]{5,30}$</Property>
<Property name="PasswordJavaScriptRegEx">^[\S]{5,30}$</Property>
<Property name="RolenameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="RolenameJavaScriptRegEx">^[\S]{3,30}$</Property>
首先,我不明白为什么 username/rolename 的正则表达式与 frontend/backend 的不同,而密码的正则表达式相同?他们不应该对 backend/frontend 使用相同的正则表达式吗?当前的示例和文档有点奇怪。例如,前端接受包含“:”的用户名,而后端不接受?
第二件事是我不确定我是否通过允许一个空的 space 作为这些正则表达式的一部分来打破事情(不好的做法?)。
[a-zA-Z0-9._\-|//]{3,30}$ ==> [a-zA-Z0-9 ._\-|//]{3,30}$
^[\S]{3,30}$ ==> ^[\S ]{3,30}$
是否有某种用于用户名验证的 OWASP 最佳实践?到目前为止我没有找到任何东西......
欢迎提供任何帮助或信息。
是的,你是对的。如果您不想在填写表单上浪费用户时间,那么它们应该是相同的,或者这无关紧要,因为一个正则表达式限制了另一个正则表达式,有时人们在确定传入数据时不会费心再次验证.但是在你的情况下,一个是在前端使用的,可以修改,所以在后端使用的那个应该是精确的。
Java 中使用的正则表达式似乎允许在用户名中使用管道 | 和斜杠 / 等特殊字符。对于这种不一致的正则表达式用法,您应该确认这是一种需要或要求。
无论使用哪种方法,仅此正则表达式 [a-zA-Z0-9._\-|//]{3,30}$ 允许用户名的长度超过 30 个字符,后面跟有任何类型的字符,因为没有定义字符串锚点 ^ 的开头(即你可能需要它)。
Is there some kind of OWASP best practice...
是的,有。只是不要验证奇怪的字符,即 \x00
附带说明一下,您将密码限制在一定长度内 。
目前我们正在实施 WSO2 身份服务器,我正在检查配置。我的目标是在用户名中启用 spaces。这些在默认情况下是不允许的,并且受某些正则表达式的保护。我不明白为什么前端和后端的正则表达式不同。
这是摘自 repository/conf/user-mgt.xml 的片段:
<Property name="UsernameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="UsernameJavaScriptRegEx">^[\S]{3,30}$</Property>
<Property name="PasswordJavaRegEx">^[\S]{5,30}$</Property>
<Property name="PasswordJavaScriptRegEx">^[\S]{5,30}$</Property>
<Property name="RolenameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="RolenameJavaScriptRegEx">^[\S]{3,30}$</Property>
首先,我不明白为什么 username/rolename 的正则表达式与 frontend/backend 的不同,而密码的正则表达式相同?他们不应该对 backend/frontend 使用相同的正则表达式吗?当前的示例和文档有点奇怪。例如,前端接受包含“:”的用户名,而后端不接受?
第二件事是我不确定我是否通过允许一个空的 space 作为这些正则表达式的一部分来打破事情(不好的做法?)。
[a-zA-Z0-9._\-|//]{3,30}$ ==> [a-zA-Z0-9 ._\-|//]{3,30}$
^[\S]{3,30}$ ==> ^[\S ]{3,30}$
是否有某种用于用户名验证的 OWASP 最佳实践?到目前为止我没有找到任何东西......
欢迎提供任何帮助或信息。
是的,你是对的。如果您不想在填写表单上浪费用户时间,那么它们应该是相同的,或者这无关紧要,因为一个正则表达式限制了另一个正则表达式,有时人们在确定传入数据时不会费心再次验证.但是在你的情况下,一个是在前端使用的,可以修改,所以在后端使用的那个应该是精确的。
Java 中使用的正则表达式似乎允许在用户名中使用管道 | 和斜杠 / 等特殊字符。对于这种不一致的正则表达式用法,您应该确认这是一种需要或要求。
无论使用哪种方法,仅此正则表达式 [a-zA-Z0-9._\-|//]{3,30}$ 允许用户名的长度超过 30 个字符,后面跟有任何类型的字符,因为没有定义字符串锚点 ^ 的开头(即你可能需要它)。
Is there some kind of OWASP best practice...
是的,有。只是不要验证奇怪的字符,即 \x00
附带说明一下,您将密码限制在一定长度内