¿Qué alternativas hay a Hibernate Validator's @SafeHtml para validar cadenas?

10

Como se indica en los JavaDocs, se eliminará en una versión futura. ¿Hay alguna biblioteca alternativa que funcione de manera similar a través de anotaciones?

CCH
fuente

Respuestas:

7

Primero expliquemos las razones de la despreciación: recientemente tuvimos un problema de seguridad (CVE) debido a esta restricción. Se debió a un error en nuestra implementación, pero nos hizo darnos cuenta de que esto era muy frágil y potencialmente una lata de gusanos de seguridad.

La alternativa por ahora sería implementarlo usted mismo según nuestra última implementación y mantenerlo en su propia aplicación (con sus propios ajustes).

Tenemos un muy buen artículo en nuestro blog que explica cómo hacerlo fácilmente: https://in.relation.to/2017/03/02/adding-custom-constraint-definitions-via-the-java-service-loader/ .

Básicamente, este cambio nos dice que no queremos asumir la responsabilidad de algo que sea potencialmente frágil y que necesite mucha atención, con ajustes potencialmente específicos para la plataforma de aplicación en la que se implementa.

Actualización: He publicado un anuncio completo aquí: https://in.relation.to/2019/11/20/hibernate-validator-610-6018-released/ .

Guillaume Smet
fuente
¿Hay alguna razón por la cual la documentación no proporciona ninguna información sobre por qué se va a eliminar?
Joachim Sauer
Realmente no. TBH, todavía no he tenido tiempo de anunciar adecuadamente estos lanzamientos. Habrá una publicación de blog y notas de migración pronto. Trabajaré en eso esta semana.
Guillaume Smet
¿Podría proporcionar un enlace o algunos detalles sobre el problema de seguridad?
Dario Seidl
No importa, lo encontré: hibernate.atlassian.net/browse/HV-1739
Dario Seidl
1
@DarioSeidl la publicación del blog está aquí: in.relation.to/2019/11/20/hibernate-validator-610-6018-released . Actualizaré mi mensaje
Guillaume Smet