我的项目有 113 个信任边界违规。每个冲突都针对存储到会话值的任何值。存储在会话中的值实际上是具有多个属性的对象。因此,每次将值分配给冲突的属性时。我可以将数字值视为可信值,因为它们被强类型化为数字。但是,来自文本框表单字段的字符串让我感到困惑。我确实启用了 ASP.Net 请求验证。
Fortify的建议说:"不受信任的数据应该建立在单个不受信任的数据结构中,经过验证,然后移动到受信任的位置。
是否需要对从文本框表单字段设置的字符串采取任何进一步操作才能"验证"这些值?或者,ASP.Net 请求验证是否足够?
我认为 ASP.Net 请求验证就足够了。当您将其标记为误报时,AI 引擎将学习它。
同时,我认为在会话值上存储多个属性不是一个好的做法。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium