httpセッションでユーザーが定義または指定できる値をセキュリティリスクに設定していますか?セッションでユーザー定義の値がセキュリティ上のリスクですか?
request.getSession().setAttribute(KEY,
request.getParameter(usernameParameter));
これを解決するにはどうすればよいですか?
私の考えることの1つは、ハードディスク/メモリをいっぱいにする巨大な値ですが、それはちょっと離れているようです。文字列の長さを制限することでこれを解決できます。
この時点でサイズについて心配するのは遅すぎます。要求にアクセスすると、その時点で属性がすでに解析され、メモリーに格納されています。 – talex
@talexリクエスト属性は長時間保存されません。セッション属性は可能です。ユーザーが膨大な数のセッションを膨大な値で作成することは可能でしょうか?ヒープがいっぱいになり、メモリ不足のエラーが発生し、サーブレットコンテナ全体がクラッシュする –