проверит метод на объекте InternetAddress, удалит проблему внедрения CRLF

Question

Я отсканировал проект с помощью veracode, и он выдает проблемы для CWE ID 93 (инъекция CRLF), эта проблема возникает по линии ниже -

InternetAddress[] address = {new InternetAddress(username)};
msg.setRecipients(Message.RecipientType.TO, address);

Veracode отмечает проблему 93 во второй строке кода выше. имя пользователя анализируется из объекта запроса, который является строковым буфером

поэтому один из моих коллег предложил мне использовать метод validate для удаления символов CRLF. Будет ли метод проверки объекта адреса удалять разделители CRLF?

Answer 1

Использовать ESAPI (API OWASP Enterprise Security). Это абсолютно бесплатно.

После настройки ESAPI приведенный ниже код решит проблему.

ESAPI.encoder (). DecodeForHTML (имя пользователя)