1、最近换了一个新项目组,竟然说@RequestBody注解不安全,要求必须先使用requestparams注解。
2、想问:@RequestBody注解在什么情况下会有不安全的状况?
@RequstBody注解绑定类或嵌套类中的任何属性都将自动绑定到 HTTP 请求参数。因此,恶意用户能够将值分配给绑定类或嵌套类中的任意属性,即使这些属性未通过 Web 表单或 API 合约暴露给客户端也是如此。这在代码安全审计里面属于不安全的绑定配置,也是代码缺陷的一种。至于怎么处理或者说遇到的场景是否需要做这个考虑,那就是其他需要考虑的问题了。
领导说咋干,你就咋干。就算你跟领导讲理赢了,你以后也不会好过的。。
你叫他说@RequestBody为什么不安全,估计他也是以讹传讹。
因为json的原因?看看其他人怎么看~
对于注入的防御不一样,要看处理的时候怎么去避免注入。
requestparams比较方便用filter去处理,但是requestbody也不是说不行,会复杂一些
requestparam和requestbody区别也就具体到某个参数是否必填,是这个原因么
因为啊,正常人都觉得@requestbody是安全的.
你非说不安全,还抬杠.
容易被打.
所以对你来说,@RequstBody确实不安全...容易挨揍.
没有这么一说,可能是他看到了某个帖子说了不安全,然后就记下来了,你让他说到底怎么不安全,估计他也不知道。这可能和一个系统框架有关,当很多人都统一做了一个,你刚接手,肯定也按照原来的方式,会更容易接受,不然你review有好多改的
用了这么多年,第一次听说@RequestBody注解不安全