CheckMarx反映了httpServletRequest的XSS所有客户端漏洞。getQueryString()它作为httpServletRequest元素的“用户输入”给出。然后,该元素的值在代码中流动,而没有经过适当的清理或验证。
response.setQueryString(httpServletRequest.getQueryString());
response.setMsg(String.format("ERDS_DATA.ERDS_DATA_CLIENT.XML_DATA backloading request submitted at %s",
LocalDateTime.now()));
response.setLocalDateTime(LocalDateTime.now());
response.setHttpStatus(HttpStatus.OK);
return new ResponseEntity<Response>(response, HttpStatus.OK);
我们如何才能消毒这个语句,所以checkmarx将允许我们走得更远
1条答案
按热度按时间dgtucam11#
你应该在响应中使用它之前清理httpServletRequest.getQueryString()。setQueryString(),你应该寻找可以为你的用例做这件事的库…在谷歌搜索可能会有所帮助
希望这个能帮到你,消毒的例子