Fortify - 违反信任边界 - ASP.Net Web 表单 - 文本框表单字段
Fortify - Trust Boundary Violation - ASP.Net Web Forms - Text-Box Form Fields
我的项目有 113 次信任边界违规。每个违规都是针对存储到会话值的任何值。存储在会话中的值实际上是具有多个属性的对象。因此,每次将值分配给 属性 都是违规的。我可以认为数字值是可信的,因为它们被强类型化为数字。但是,来自文本框表单字段的字符串让我感到困惑。我确实启用了 ASP.Net 请求验证。
Fortify 的建议说,"The untrusted data should be built up in a single untrusted data structure, validated, and then moved into a trusted location."
是否需要对从文本框表单字段设置的字符串采取任何进一步的操作才能使这些值成为 "validated"?或者,ASP.Net 请求验证是否足够?
我认为 ASP.Net 请求验证就足够了。当您将其标记为误报时,AI 引擎将对其进行学习。
同时,我认为在会话值上存储多个属性不是一个好的做法。
我的项目有 113 次信任边界违规。每个违规都是针对存储到会话值的任何值。存储在会话中的值实际上是具有多个属性的对象。因此,每次将值分配给 属性 都是违规的。我可以认为数字值是可信的,因为它们被强类型化为数字。但是,来自文本框表单字段的字符串让我感到困惑。我确实启用了 ASP.Net 请求验证。
Fortify 的建议说,"The untrusted data should be built up in a single untrusted data structure, validated, and then moved into a trusted location."
是否需要对从文本框表单字段设置的字符串采取任何进一步的操作才能使这些值成为 "validated"?或者,ASP.Net 请求验证是否足够?
我认为 ASP.Net 请求验证就足够了。当您将其标记为误报时,AI 引擎将对其进行学习。
同时,我认为在会话值上存储多个属性不是一个好的做法。