奇安信代码安全卫士扫描出来的 API误用不安全的框架绑定 漏洞需要怎么解决救助

　　目前大部分WEB框架支持将HTTP请求参数与类的属性相匹配的而生成一个对象。因此攻击者能够将值放入HTTP请求参数中从而绑定系统对象。

　　当程序将非将HTTP请求参数直接绑定给对象时应该要控制绑定到对象的属性防止暴露所有属性。

　　例5在以下代码片段中在Struts可以将某个属性的setter方法设置为私有从而禁止绑定敏感属性。

　　验证框架的更新确保正在用的所有相关框架和库例如SpringJackson等都是最新版本。旧版本可能不支持某些安全特性或包含已知的安全漏洞。