2. 程式人生 > >關於ESAPI獲取資原始檔問題

關於ESAPI獲取資原始檔問題

阿新 發佈:2018-11-19

近期專案中需要使用到元件包ESAPI(ESAPI是owasp提供的一套API級別的web應用解決方案),其官方網站為:https://www.owasp.org/,
有興趣的小夥伴可以瞭解一下。此處不是本文重點,本文重點記錄一下使用此元件時遇到的資源載入問題。

引入jar

<!-- https://mvnrepository.com/artifact/org.owasp.esapi/esapi -->
<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.1.0.1</version>
</dependency>

問題

在使用此API時,需要引入三個資原始檔,分別是ESAPI.propertiesvalidation.propertiesantisamy-esapi.xml

so easy,直接放入專案resources目錄中的esapi下,單元測試跑起來

    @Test
    public void esapiTest() {
        String input = "<p>test <b>this</b> <script>alert(document.cookie)</script><i>right</i> now</p>"
 
;
        try {
            String safe2 = ESAPI.validator().getValidSafeHTML("get safe html", input, Integer.MAX_VALUE, true);
            logger.info("getValidSafeHTML:{}", safe2);
        } catch (ValidationException e) {
            logger.error("error", e);
        }
    }

執行結果

System property [org.owasp.esapi.opsteam] is not set
Attempting to load ESAPI.properties via file I/O.
Attempting to load ESAPI.properties as resource file via file I/O.
Not found in 'org.owasp.esapi.resources' directory or file not readable: E:\intelliGit\Tiffany\XSS\ESAPI.properties
Found in SystemResource Directory/resourceDirectory: E:\intelliGit\Tiffany\XSS\target\classes\esapi\ESAPI.properties
Loaded 'ESAPI.properties' properties file
SecurityConfiguration for Validator.ConfigurationFile.MultiValued not found in ESAPI.properties. Using default: false
Attempting to load validation.properties via file I/O.
Attempting to load validation.properties as resource file via file I/O.
Not found in 'org.owasp.esapi.resources' directory or file not readable: E:\intelliGit\Tiffany\XSS\validation.properties
Found in SystemResource Directory/resourceDirectory: E:\intelliGit\Tiffany\XSS\target\classes\esapi\validation.properties
Loaded 'validation.properties' properties file
System property [org.owasp.esapi.devteam] is not set
Attempting to load antisamy-esapi.xml as resource file via file I/O.
Not found in 'org.owasp.esapi.resources' directory or file not readable: E:\intelliGit\Tiffany\XSS\antisamy-esapi.xml
Found in SystemResource Directory/resourceDirectory: E:\intelliGit\Tiffany\XSS\target\classes\esapi\antisamy-esapi.xml
十一月 08, 2018 10:39:59 上午 org.owasp.esapi.reference.JavaLogFactory$JavaLogger log

2018-11-08 10:39:59 [main] INFO com.tiffany.xss.EsapiTest  - getValidSafeHTML:<p>test <b>this</b> <i>right</i> now</p>

ok, 大功告成,引入web專案,jetty啟動,訪問結果

Not found in 'org.owasp.esapi.resources' directory or file not readable: 
Not found in SystemResource Directory/resourceDirectory: .esapi\ESAPI.properties
Not found in 'user.home' (C:\Users\wangxinguo) directory: C:\Users\wangxinguo\esapi\ESAPI.properties

Not found in 'org.owasp.esapi.resources' directory or file not readable:
Not found in SystemResource Directory/resourceDirectory: .esapi\validation.properties
Not found in 'user.home' (C:\Users\wangxinguo) directory: C:\Users\wangxinguo\esapi\validation.properties

Not found in 'org.owasp.esapi.resources' directory or file not readable:
Not found in SystemResource Directory/resourceDirectory: .esapi\antisamy-esapi.xml
Not found in 'user.home' (C:\Users\wangxinguo) directory: C:\Users\wangxinguo\esapi\antisamy-esapi.xml


Caused by: org.owasp.esapi.errors.ConfigurationException: Couldn't find antisamy-esapi.xml
	at org.owasp.esapi.reference.validation.HTMLValidationRule.<clinit>(HTMLValidationRule.java:55)
	... 33 more
Caused by: java.io.FileNotFoundException
	at org.owasp.esapi.reference.DefaultSecurityConfiguration.getResourceStream(DefaultSecurityConfiguration.java:532)
	at org.owasp.esapi.reference.validation.HTMLValidationRule.<clinit>(HTMLValidationRule.java:53)
	... 33 more

什麼鬼?資原始檔找不到??不是已經放在classpath中了麼?

  • 難道沒打包?

    直接檢視打包war檔案,
    /webapp/WEB-INF/classes/esapi三個檔案的確存在呀,再說單元測試也可以通過呀,這不開玩笑麼?

  • 難道jetty容器解壓有毒?(不合理的懷疑)

    直接上伺服器jetty的work目錄中,/webapp/WEB-INF/classes/esapi三個檔案也的確存在

沒辦法,再看異常日誌

Not found in 'org.owasp.esapi.resources' directory or file not readable

看到可以通過指定jvm啟動環境變數來指定資原始檔的路徑

-Dorg.owasp.esapi.resources={path}

重新啟動,發現檔案解決

但是這個不是我想要的結果,我是想讓程式直接載入我classpath路徑下的資原始檔,
這樣不用在容器啟動的時候還要強制宣告resource path

那就直接看原始碼唄,直接debug走一波
org.owasp.esapi.reference.DefaultSecurityConfigurationgetResourceFile方法


public File getResourceFile(String filename) {
		logSpecial("Attempting to load " + filename + " as resource file via file I/O.");

		if (filename == null) {
			logSpecial("Failed to load properties via FileIO. Filename is null.");
			return null; // not found.
		}

		File f = null;

		// first, allow command line overrides. -Dorg.owasp.esapi.resources
		// directory
		f = new File(customDirectory, filename);
		if (customDirectory != null && f.canRead()) {
			logSpecial("Found in 'org.owasp.esapi.resources' directory: " + f.getAbsolutePath());
			return f;
		} else {
			logSpecial("Not found in 'org.owasp.esapi.resources' directory or file not readable: " + f.getAbsolutePath());
		}

        // if not found, then try the programmatically set resource directory
        // (this defaults to SystemResource directory/resourceFile
        URL fileUrl = ClassLoader.getSystemResource(resourceDirectory + "/" + filename);
        if ( fileUrl == null ) {
            fileUrl = ClassLoader.getSystemResource("esapi/" + filename);
        }

		if (fileUrl != null) {
			String fileLocation = fileUrl.getFile();
			f = new File(fileLocation);
			if (f.exists()) {
				logSpecial("Found in SystemResource Directory/resourceDirectory: " + f.getAbsolutePath());
				return f;
			} else {
				logSpecial("Not found in SystemResource Directory/resourceDirectory (this should never happen): " + f.getAbsolutePath());
			}
		} else {
			logSpecial("Not found in SystemResource Directory/resourceDirectory: " + resourceDirectory + File.separator + filename);
		}

		// If not found, then try immediately under user's home directory first in
		//		userHome + "/.esapi"		and secondly under
		//		userHome + "/esapi"
		// We look in that order because of backward compatibility issues.
		String homeDir = userHome;
		if ( homeDir == null ) {
			homeDir = "";	// Without this,	homeDir + "/.esapi"	would produce
							// the string		"null/.esapi"		which surely is not intended.
		}
		// First look under ".esapi" (for reasons of backward compatibility).
		f = new File(homeDir + "/.esapi", filename);
		if ( f.canRead() ) {
			logSpecial("[Compatibility] Found in 'user.home' directory: " + f.getAbsolutePath());
			return f;
		} else {
			// Didn't find it under old directory ".esapi" so now look under the "esapi" directory.
			f = new File(homeDir + "/esapi", filename);
			if ( f.canRead() ) {
				logSpecial("Found in 'user.home' directory: " + f.getAbsolutePath());
				return f;
			} else {
				logSpecial("Not found in 'user.home' (" + homeDir + ") directory: " + f.getAbsolutePath());
			}
		}

		// return null if not found
		return null;
	}

原始碼流程也很簡單

  • 首先通過 -Dorg.owasp.esapi.resources指定路徑獲取,如果存在,直接返回

  • 上面過程獲取不到,通過ClassLoader.getSystemResource("esapi/" + filename);來獲取,如果存在,直接返回

  • classloader也獲取不到,查詢userHome中是否存在

除錯分析

  • 單元測試啟動

ClassLoader.getSystemClassLoader()

image

Thread.currentThread().getContextClassLoader()

image

使用的都是jvm的ClassLoader,並且資原始檔都可以找到

  • jetty容器啟動

ClassLoader.getSystemClassLoader()

image

image

Thread.currentThread().getContextClassLoader()

image

image

發現當前執行緒的classloader是通過jetty容器WebAppClassLoader獲取,而並非jvm的classloader

至於此次問題怎麼發現,是源於之前隱約記得在看 JAVA類載入器
有提到過雙親模式的破壞,Tomcat的WebappClassLoader 就會先載入自己的Class,找不到再委託parent

當時看到這裡的時候也是大概看了一下,也沒深入去理解,只在腦海中停留了一下,

藉此在網上找到有位大神的講解正符合此情景,於是就仔細去拜讀了一下,加深容器類載入器的理解,避免以後再出現此類詭異的問題
Jetty原始碼閱讀—Jetty的類載入器WebAppClassLoader

另外還有一位小夥伴的分享也是不錯的,故此處記錄一下關於getSystemResource, getResource 的總結

相關推薦

關於ESAPI獲取原始檔問題

近期專案中需要使用到元件包ESAPI(ESAPI是owasp提供的一套API級別的web應用解決方案),其官方網站為:https://www.owasp.org/, 有興趣的小夥伴可以瞭解一下。此處不是本文重點,本文重點記錄一下使用此元件時遇到的資源載入問題。 引入jar <!

jar包獲取原始檔

背景 寫的一個spring boot專案打成jar包部署執行下,打成jar包,提示找不到資原始檔,如下圖:  直接通過idea是可以執行的,但打成jar包後提示找不到資原始檔,簡單查閱後瞭解到是因為jar包在讀取檔案的方式不一致導致的   問題分析 先定位到哪行程式碼出錯,如

Android Uri獲取原始檔(多種方式)

在Android中少不了去獲取資原始檔,在Android裡封裝了幾種獲取固定Resource檔案的方式,今天不講這個。 如果你要獲取資原始檔夾raw目錄下的視訊檔案,那你會怎麼做?  這時候Uri就排上用場了   我在這先設個疑問,通過Uri去拿raw資料夾下的m

CommonUtil:常用的工具類,eg. 獲取原始檔

/** * 常用的工具類 */ public class CommonUtil { /** * 獲取 string 資原始檔 * @param resId *

iOS基礎:獲取原始檔的方法

bundle是一個目錄,其中包含了程式會使用到的資源.這些資源包含了如影象,聲音,編譯好的程式碼,nib檔案(使用者也會把bundle稱為plug-in).對應bundle,cocoa提供了類NSB

關於Servlet獲取原始檔的路徑問題

以eclipse中的java web專案為例,properties檔案作為資原始檔 有如下結構的專案,在WebContent、WEB-INF及src下分別有db1.properties,db2.properties,db3.properties三個檔案。   在Servlet中使用Serv

自定義工具類-----通過圖片名稱獲取原始檔(運用反射)

一、用kotlin寫的話如下: object ReflectUtil { /** * 獲取圖片名稱獲取圖片的資源id的方法 ,呼叫的時候 * getResourceByReflect("sdf", R.mipmap::class.java) */ fun

C# 獲取原始檔中的DLL,呼叫DLL中的方法

轉自:http://blog.163.com/[email protected]/blog/static/16920433220127193511096/ usingSystem;usingSystem.Collections.Generic;usingSyst

獲取原始檔,res目錄下的資源時,id報空指標

在Android開發過程中,我們經常會有這種需求,需要將自己開發一個類庫打包成jar包以供他人(其他人一般指開發者)呼叫,而不是直接打包apk檔案供終端使用者使用。在打包成jar後,你往往會自己先測試一下看jar包能不能直接使用,這時就會常常有如下的幾個問題: 1) E

Xcode 升級到9.0 後無法通過mainBundle獲取原始檔的解決辦法

Xcode 升級到9.0 無法通過mainBundle獲取資原始檔解決辦法 專案檔案結構如下: 問題描述: 最近發現一個奇葩問題:就是Xcode升級到9.0 後出現無法通過NSBundle的mai

java路徑以及獲取原始檔的方法

Java路徑   Java中使用的路徑,分為兩種:絕對路徑和相對路徑。具體而言,又分為四種:   一、URI形式的絕對資源路徑   如:file:/D:/java/eclipse32/workspace/jbpmtest3/bin/aaa.b   URL

Python程式設計:pkgutil獲取包中的原始檔

檔案結構 ./ |--main.py |--clazz |--demo.txt 獲取clazz包下面的demo.txt檔案 main.py import pkgutil ret = pkgutil.get_data("clazz", "demo.txt") print

java專案下原始檔路徑的獲取

eg:拒絕硬編碼 獲取resources下相關配置檔案 獲取流:this.getClass().getResourceAsStream(“/other/mrmy.properties”),返回值:InputStream 獲取URL:this.getClass().getResour

android中從values/strings原始檔獲取拼接字串的方法

在編寫程式碼的時候,將程式碼中的字串儲存在res/values/strings資原始檔裡是一個好習慣,也是規範的做法。但是,有時候我們可能會碰到字串拼接的問題, 比如: <string name="selected">選擇了n個檔案</string>,這裡的n是隨著實

ResourceUtils.getFile 獲取檔案 獲取jar包中的原始檔

摘要:通過Spring工具類獲取classpath下的檔案資源;獲取jar包中的資原始檔 1. web專案下classpath檔案獲取   方法(1)File resourcefile = ResourceUtils.getFile("classpath:applicat

用Swift來獲取專案中的.bundle原始檔

這是專案中的資原始檔XXX.bundle。 首先,新建一個Bundle的擴充套件類:Bundle+XXX.swift import UIKit extension Bundle {

『IOS』IOS獲取工程目錄下的原始檔的路徑

NSString *itemPath = @“icon.png”; NSArray *aArray = [itemPath componentsSeparatedByString:@"."]; NSString *filename = [aArr

iOS 獲取App的ipa包以及原始檔

本文介紹兩種工具,用於Mac獲取App Store線上專案的ipa包 1、iTunes; 2、Apple Configurator; 前言 Mac在iTunes 12.7中取消了App Store應用商店模組,這也就意味著不能從iTunes中安裝或者獲取應用的i

SpringBoot打成Jar包後獲取靜態原始檔

SpringBoot  專案打成jar包後 Resource下的靜態資源訪問 ClassPathResource resource = new ClassPathResource("export/aaa.txt"); InputStream inputStream = r

Maven專案中獲取classpath和原始檔的路徑

假設資原始檔放在maven工程的 src/main/resources 資原始檔夾下,原始碼檔案放在 src/main/Java/下, 那麼java資料夾和resources資料夾在執行時就是classpath的真實位置,如果 有一個檔案位於 src/main/re