Question

Ниже приведен мой фрагмент кода для верификатора имени хоста SSL.Но поскольку я возвращаюсь безоговорочно true из этого метода.Сонар считает, что это уязвимость.Как я решу это?

SslClient sslClient = SslClient.localhost();
    SSLSocketFactory socketFactory = sslClient.socketFactory;
    HostnameVerifier hostnameVerifier = new HostnameVerifier() {
      @Override public boolean verify(String s, SSLSession session) {
        return true;
      }
    };

Я хочу знать лучший способ.

Andy Turner · Answer 1 · 27 сентября 2018

Зачем вам нужно возвращать истину безоговорочно?Если это уязвимость, обнаруженная Sonar, вы должны либо не делать этого, либо задокументировать, почему она действительно безопасна в этом случае.

С точки зрения реализации "некоторого" исправления, посмотрите на контрольные примеры для класса.Кажется, что реализация, которую он хочет, чтобы вы использовали:

@Override
  public boolean verify(String a, SSLSession b) {
    return a.equalsIgnoreCase(b.getPeerHost());
  }

Сонар Java метод уязвимости вернуть true

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Сонар Java метод уязвимости вернуть true

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов