java 如何在Sping Boot 中清理CheckMarx Reflected XSS漏洞的httpServletRequest.getQueryString()?

mznpcxlj  于 2023-05-27  发布在  Java
关注(0)|答案(1)|浏览(121)

CheckMarx反映了httpServletRequest的XSS所有客户端漏洞。getQueryString()它作为httpServletRequest元素的“用户输入”给出。然后,该元素的值在代码中流动,而没有经过适当的清理或验证。

response.setQueryString(httpServletRequest.getQueryString());
   response.setMsg(String.format("ERDS_DATA.ERDS_DATA_CLIENT.XML_DATA backloading request submitted at %s",       
   LocalDateTime.now()));

        response.setLocalDateTime(LocalDateTime.now());
        response.setHttpStatus(HttpStatus.OK);
        return new ResponseEntity<Response>(response, HttpStatus.OK);

我们如何才能消毒这个语句,所以checkmarx将允许我们走得更远

dgtucam1

dgtucam11#

你应该在响应中使用它之前清理httpServletRequest.getQueryString()。setQueryString(),你应该寻找可以为你的用例做这件事的库…在谷歌搜索可能会有所帮助
希望这个能帮到你,消毒的例子

相关问题