Должен ли я отклонять URL-адреса дольше ожидаемого?

Question

Я занимаюсь разработкой приложения, и у меня есть URL в формате www.example.com/some_url/some_parameter/some_keyword. По дизайну я знаю, что максимальная длина этих URL-адресов будет максимальной (и все же будет действительной). Должен ли я проверять длину URL-адреса при каждом запросе, чтобы защитить от переполнения буфера / атак внедрения? Я считаю, что это очевидно, но я не эксперт по безопасности, поэтому, возможно, я что-то упускаю.

Answer 1

Да. Если это слишком долго, и вы уверены, тогда отклоните это как можно скорее. Если вы можете, отклоните его до того, как оно достигнет вашего приложения (например, IISLockdown сделает это).

Не забудьте учесть кодировку символов.

Answer 2

Я бы сказал нет. Это просто ложная безопасность. Просто хорошо программируйте и проверяйте ваши запросы на плохие вещи. Этого должно быть достаточно.

Кроме того, это не будущее.

Answer 3

Я думаю, что это может дать вам некоторую степень безопасности и сэкономить вам небольшую пропускную способность, если люди действительно отправляют вам сумасшедшие длинные URL-адреса, но в целом вам следует просто проверить свои данные в реальном приложении. Несколько уровней безопасности, как правило, лучше, но не думайте, что из-за того, что в начале у вас есть (слабая) защита, у вас не будет проблем с остальными.