[英]HTTP request redirections vulnerability does not detect with SonarLint plugin and SonarQube server
一旦我们使用 sonarCube 和 SonarLint eclipse 插件执行 static 代码分析,它们都无法检测到以下代码段中的漏洞。 但这已根据 sonarsource web 站点的规则定义为漏洞。
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
String location = req.getParameter("url");
resp.sendRedirect(location); // Noncompliant
}
此规则以及其他与安全相关的规则适用于 SonarQube 开发人员版及更高版本。
请参阅Jean-Baptiste对SonarSource 社区中问题的答案
如何创建规则(HTTP 请求重定向不应该对伪造攻击开放 - RSPEC-5146)java 插件
[英]how to create rule (HTTP request redirections should not be open to forging attacks - RSPEC-5146) java plugin
解决SonarQube中的问题不会影响SonarLint报告的警告
[英]Resolving issues in SonarQube does not affect warnings reported by SonarLint
为什么Eclipse的SonarQube插件使用“项目名称”而不是“artifactID”来将Maven项目与SonarQube服务器相关联?
[英]Why does the SonarQube plugin for Eclipse use the “project name” instead of the “artifactID” to associate Maven projects with a SonarQube server?
Sonarlint 和其他用于 Eclipse 模拟 sonarqube 的工具
[英]Sonarlint and other tools for eclipse to mimic sonarqube
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.