ASP.NET Предотвращение воздействия конфиденциальных данных

Question

Я делаю проект asp.net/c#. В настоящее время у меня есть одна веб-страница с контролем метки lblData для отображения содержимого из строковой переменной. Пожалуйста, смотрите в блоке кода ниже:

string strData = "Data"; 
lblData.Text = strData; 

Когда я бегу Parasoft инструмент для сканирования проекта, я получаю результат, как показано ниже: вопрос

безопасности: Предотвратить раскрытие конфиденциальных данных

Утечка результата ToString() посредством веб-управления.

Я думаю, что мой код нарушил стандартную практику безопасности, но я не уверен, как это исправить. Действительно ценим ваше время и помощь.

Answer 1

Это полный код, или вы упростили свой пример? Я спрашиваю, потому что я не смог получить какое-либо нарушение на вашем примере.

После изменения вашего примера к чему-то вроде:

protected void Foo(object o) 
{ 
    string strData = "Data" + o.ToString() ; 
    lblData.Text = strData; 
} 

я получаю следующее нарушение:

Нарушений: Утечка ToString() результата ("strData") через веб-управление

Для исправить это нарушение, вам нужно будет проверить открытые данные, это делается путем определения в методе проверки правильности правила и передачи ваших данных этому методу (по умолчанию все методы с префиксом «validate» рассматриваются как проверяющие) так что если вы измените код на что-то вроде:

protected void Foo(object o) 
{ 
    string strData = "Data" + o.ToString() ; 
    validateStrData(strData); 
    lblData.Text = strData; 
} 
private void validateStrData(string strData) 
{ 
    //some validating logic 
} 

то нарушение не следует сообщать

Answer 2

Попробуйте это,

lblData.Text = strData.ToString();