Ich habe eine API im Spring Boot. In der Controller -Ebene hat jeder Beitrag, der mit @RequestBody mit @RequestBody mit SNYK -Sicherheitsergebnissen in der Sicherheitspipeline versehen ist.public ResponseEntity getCustomObject(@RequestBody CustomRequest customRequest) {
// code
}
< /code>
Der Sicherheitsbericht würde angezeigt: < /p>
✗ [Low] Spring Cross-Site Request Forgery (CSRF)
Controller: Line 10
Info: The request parameter is vulnerable to Cross Site Request Forgery (CSRF) attacks due to not using Spring Security. This could allow an attacker to execute requests on a user's behalf. Consider including Spring Security's CSRF protection within your application.
< /code>
Wenn ich den @RequestBody entferne, markiert der Sicherheitsbericht ihn nicht mehr. Validiert sowie Feldwertanmerkungen zum Objekt, aber nichts funktioniert. Ich frage mich, ob es einen Weg gibt, ohne einen benutzerdefinierten Deserializer schreiben zu müssen, anstatt @RequestBody zu verwenden oder ihn als falsches Positiv hinzuzufügen.
Spring Boot @RequestBody Flags Snyk CSRF ⇐ Java
-
- Similar Topics
- Replies
- Views
- Last post