Sto guardando un video di formazione chiamato "Creazione di un codice J2EE sicuro". Il video fa questa affermazione:
Perform all validation in a secure context on the server. Do not rely on client-side validation as a security mechanism. Validate all application input, including user input, API return values, environment variables, configuration files, and other applications.
Convalidare le variabili di ambiente e i file di configurazione è un nuovo concetto per me. Puoi fornire una panoramica di alto livello su come potrebbe essere?
I miei pensieri sono di trattare sia le variabili di ambiente che i file di configurazione simili all'input dell'utente. Vorrei:
- Sanitizza,
- Durata del test (min. e max.),
- Intervallo di prova,
- Formato di prova
- Tipo di test (int, decimal, char, ecc.)
Suppongo che i file di configurazione contengano coppie chiave / valore. Non sono sicuro di come gestire un file di configurazione che potrebbe contenere qualsiasi altro formato.
Sono sulla buona strada?