通常、ベラコードを使用してコードの変更をスキャンし、セキュリティの脆弱性を検出します。今、私はと呼ばれる文字列で収集しているDBに文字列がcustFunctionality
あり、以前はこれをjspで次のように表示していました:
out.println(<%= custFunctionality %>);
veracode がそれをスキャンしたところ、セキュリティ上の欠陥であることがわかりました。
だから私はc: out
ここで次のように使用しました:
<c:out escapexml='false' value='${custFunctionality }'/>
ここでの問題は、文字列が HTML 関連のマークアップと、ページに表示する必要がある特殊文字で構成されていることですescapexml='false'
。これらの文字を指定しないと、マークアップが実現しません。ただし、escapexml='false'
コードには文字列が含まれているため、ファイルを再スキャンした後に発見したように、これは veracode のセキュリティ上の欠陥を構成します。
この泥沼から別の解決策を提案してくれる人はいますか?