SecurityWrapperResponse secResWrap = new SecurityWrapperResponse(response);
secResWrap.addHeader("", "Base64EncodingString");
上面一行我得到"HTTP 标头中 CRLF 序列的不当中和('HTTP 响应拆分'("用于 veracode 扫描
任何人有想法请帮助我。
我发现在这种敏感区域使用的任何原始字符串都会触发Veracode静态扫描的这种响应。您可以使用 ESAPI for Java 以 Veracode 满意的方式对字符串进行编码。https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 他们还说:
您可以根据需要使用或修改 ESAPI,甚至可以将其包含在 商业产品。