Как санировать и проверять пользовательский вход в систему в стойках 1.3, чтобы пройти проверку Checkmarx
Я запустил checkmarx в своем веб-проекте на основе Struts 1.3, он возвращает мне эту ошибку:
Метод выполняется в строке ххх ...\action\AbstractAction.java получает пользовательский ввод для элемента формы. Затем значение этого элемента проходит через код без надлежащей очистки или проверки и в конечном итоге отображается пользователю в методе%> в строке 1 ../xx.jsp, Это может включить межсайтовый скриптинг.
Как правильно санировать или проверять, чтобы удовлетворить Checkmarx?
1 ответ
Просто закодируйте значение, прежде чем распечатать его на странице JSP. Существует несколько разных кодировок, используемых для разных сценариев. Google "Шпаргалка по профилактике OWASP xss". Checkmarx знаком с кодировщиками ESAPI.