如何解决安全工具Fortify抱怨@RequestScoped bean 是有状态的
我对@RequestScoped bean 的理解是 CDI 为每个请求创建一个新实例。 我们有一个@Stateless bean,并在其中注入了@RequestScoped。
@Stateless
@Local(MyStateLessInterface.class)
@TransactionAttribute(TransactionAttributeType.REQUIRES_NEW)
@Interceptors({PerformanceLog.class,EntryExitLog.class})
public class MyStatelessBean implements MyStateLessInterface{
@Inject
private MyRequestScopedBean requestScopedBean;
}
@RequestScoped
public class MyRequestScopedBean {
private String jasperPath;
public void setJasperPath(String jasperPath) {
this.jasperPath = jasperPath;
}
//Path will be set by MyStatelessBean and a different method in this class uses this.jasperPath to generate a report.
}
在功能上这似乎工作正常,但我们的 DevOps 报告了强化工具识别的问题,并提供以下详细信息:
类 MyRequestScopedBean 是一个单例,因此成员字段 jasperPath 在用户之间共享。结果是一个用户可以看到另一个用户的数据。 问题类别:竞争条件:单例成员字段
应用名称:Conexus-Reporting
应用程序版本名称:1.0
自定义标签:
问题详细信息:许多 Servlet 开发人员不了解 Servlet 是单例。只有一个 Servlet 实例,并且该单个实例被使用和重用来处理由不同线程同时处理的多个请求。
这种误解的一个常见结果是,开发人员以这样一种方式使用 Servlet 成员字段,以至于一个用户可能会无意中看到另一个用户的数据。换句话说,将用户数据存储在 Servlet 成员字段中会引入数据访问竞争条件。
我找到了一些解释 here,但无法调和我的理解。我想了解为什么 fortify 会抱怨,我们是否应该认真对待。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。