Valider vos objets Java contre les attaques XSS , SPEL Injection et LDAP injection
Bonjour à toutes et à tous, Nous allons parler de la validation de nos objets dans le développement d'APIs RESTFull. Il existe plusieurs failles de sécurité dans le monde d' APIs RESTFull . Les failles de sécurité les plus connus dans le développement d'APIs avec Spring Boot sont: - L'injection XSS (Cross Site Scripting) qui ajoute du code le plus souvent côté client (Javascript) dans nos beans Java. - L'injection SPEL (Spring Expression Language) consiste à injecter une expression language de Spring dans nos objets. - L'injection LDAP permet d'ajouter des expressions LDAP dans les objets ayant pour but d'introduire une valeur indésirable dans le fonctionnement du serveur. Comment valide t-on nos objets ? Pour nous prévenir de ses attaques nous allons utiliser le mécanisme de validation de l'API javax.validation avec son implémentation standard hibernate-validator . Il existe plusieurs options de validation des objets contre ces différentes atta