SpringBoot集成ESAPI

官网地址:https://github.com/ESAPI/esapi-java-legacy

一、POM依赖

java 复制代码
<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.6.0.0</version>  <!-- Preferably the latest version, but > 2.5.3.0 -->
    <classifier>jakarta</classifier>
    <!-- 如果项目中没有引入其他日志框架,可以不排除 -->
     <exclusions>
      	<exclusion>
        	<groupId>org.slf4j</groupId>
            <artifactId>slf4j-simple</artifactId>
        </exclusion>
      </exclusions>
</dependency>

二、ESAPI配置文件

这里需要连两个文件ESAPI.propertiesvalidation.properties

请参阅 https://mvnrepository.com/artifact/org.owasp.esapi/esapi/latest,选项卡 无论您使用什么构建工具。如果您需要 Jakarta 版本,请确保 加

java 复制代码
<classifier>jakarta</classifier>

并包含您正在使用的任何 jakara.servlet:jakarta.servlet-api 版本

java 复制代码
<scope>provided</scope>

第 2 步:获取 2 个属性文件 ESAPI.propertiesvalidation.properties

从您正在使用的 ESAPI 发行版中下载这两个文件 https://github.com/ESAPI/esapi-java-legacy/releases 并下载 esapi--configuration.jar 文件(如果您希望确认 GPG 签名,则下载 .asc 文件)。

解压缩您刚刚下载的配置文件并找到 2 个属性文件,复制 2 个属性 文件从 configuration/esapi目录复制到 /src/main/resource

三、配置文件放置位置

如果我们对配置文件路径没有自定义配置,那么ESAPI会从默认路径中读取配置文件。

默认路径如下:

  • esapi.jar路径:Not found in 'org.owasp.esapi.resources' directory or file not readable
  • 系统资源路径: Not found in SystemResource Directory/resourceDirectory: .esapi\validation.properties
  • 系统user.name目录: Not found in 'user.home' (C:\Users\myhome) directory: C:\Users\myhome\esapi\validation.properties

自定义配置文件路径:

启动类的main方法中添加

java 复制代码
// 确保加载配置
ESAPI.securityConfiguration().setResourceDirectory("src/main/resources");

测试

java 复制代码
import org.owasp.esapi.ESAPI;
import org.owasp.esapi.Encoder;

public class SecurityExample {
    public static void main(String[] args) {
        Encoder encoder = ESAPI.encoder();
        String userInput = "<script>alert('XSS');</script>";
        String safeOutput = encoder.encodeForHTML(userInput);
        System.out.println(safeOutput);  // 输出: &lt;script&gt;alert(&#x27;XSS&#x27;);&lt;/script&gt;
    }
}

至此:我们就可以把ESAPI的配置文件放到项目/src/main/resource目录下,并打入jar、war包了

参考文章:https://www.cnblogs.com/xuchen0117/p/14760935.html

老版本:https://blog.csdn.net/suolongdse/article/details/115733940

相关推荐
用户83580861879111 小时前
撮合引擎 OrderBook 的 100ns 之路:无锁 RingBuffer + 伪共享消除,Go 1.22 下单 op 11ns
后端
用户8818630013611 小时前
用Node.js写一个简单的API请求日志中间件
后端
用户83580861879111 小时前
Go 高并发下的“内存刺客“:自研 Size-Class 无锁对象池,把 sync.Pool 的 P99 从 128μs 压到 41μs
后端
货拉拉技术11 小时前
资损下降 99.96% 的背后— AI 资损防控平台实战
后端
山水洛行13 小时前
AI Agent 智能体记忆:从检索到被治理的数据系统
后端
卷无止境14 小时前
C++20 的概念与约束:让模板编程终于"说人话"
后端
Ai拆代码的曹操14 小时前
一次排查三种连接泄漏模式,再也不怕 HikariCP 连接池爆满了
后端
人活一口气14 小时前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
咪库咪库咪14 小时前
Cypher入门
后端