手上的項目最近過不了公司的安平測試,報告處理啊之後,發現問題竟然處在nextInt()跟random()兩個方法上面,具體不通過的原因如下:
大概意思就是,這兩個系統自帶的方法會導致安全信息泄露,因此禁止。然後我就進去查看具體代碼,發現如下:
沒有進行任何的安全加密,只是驗證碼生成隨機遮掩線條。安評測試的邏輯估計是隻要調用這個方法都是不安全的,呵呵!!崩潰了,在線等C友建議如何改善了!!
手上的項目最近過不了公司的安平測試,報告處理啊之後,發現問題竟然處在nextInt()跟random()兩個方法上面,具體不通過的原因如下:
大概意思就是,這兩個系統自帶的方法會導致安全信息泄露,因此禁止。然後我就進去查看具體代碼,發現如下:
沒有進行任何的安全加密,只是驗證碼生成隨機遮掩線條。安評測試的邏輯估計是隻要調用這個方法都是不安全的,呵呵!!崩潰了,在線等C友建議如何改善了!!
ThreadLocal的使用,,,實際上相當於維護了一個Map,其中以鍵值對的形式,存儲了某一個數據被多個線程訪問所對應的值。當然這個數據只能有
JSONArray序列化日期最初用到, 這個是全局設置,會有風險。 String[] dateFormats = new String[] {"yyyyMMdd"}; JSONUtils.getM