http - サーブレット反映型クロス サイト スクリプティングの脆弱性

Question

Findbugs でコードを分析したところ、次の警告が報告されました。

サーブレットに反映されたクロス サイト スクリプティングの脆弱性。

コードはそのようなもので、3 行目で警告がスローされます。

String tickName = request.getParameter("ticko");
PrintWriter w = response.getWriter();
w.println("Unable to perform tickonem '" + tickName +"' because no tick with that name is active!"); //this line throws warning.

それの本当の理由とそれを修正する方法は何ですか？

Answer 1

その理由は、ユーザーが提供したデータをエスケープせずに応答に追加することです。これは、ユーザーのブラウザで実行される JavaScript を挿入することに対して脆弱です。このような脆弱性を回避するには、ユーザーが提供したすべてのデータを html エスケープしてから送り返す必要があります。StringEscapeUtilsのように、いくつかの既存のライブラリを使用してエスケープを実行できます。