1

に基づいて Web プロジェクトで checkmarx を起動しましたが、次のStruts 1.3エラーが返されます。

メソッド execute at 行 xxx は...\action\AbstractAction.java、フォーム要素のユーザー入力を取得します。この要素の値は、適切にサニタイズまたは検証されずにコードを通過し、最終的に の 1 行目のメソッド %> でユーザーに表示されます../xx.jsp。これにより、クロスサイト スクリプティング攻撃が可能になる可能性があります。

Checkmarxを満たすために適切にサニタイズまたは検証するにはどうすればよいですか?

4

1 に答える 1

3

JSP ページに出力する前に値をエンコードするだけです。さまざまなシナリオで使用されるさまざまなエンコーディングが多数あります。Google の「OWASP xss 防止チート シート」。Checkmarx は ESAPI エンコーダーに精通しています。

于 2016-03-09T19:34:04.493 に答える