コードを検証するために使用Veracodeしています。以下のメソッドの「return collectionService.getAllNotificationDrop()」行で「CWE-80: Web ページ内のスクリプト関連 HTML タグの不適切な中和 (基本 XSS)」というエラーが表示されます。
@RequestMapping(value = "loadAllNotification", method = RequestMethod.GET)
public @ResponseBody List<UserVO> loadAllNotification() {
try {
**return collectionService.getAllNotificationDrop();**
} catch (Exception e) {
LOGGER.debug(e);
return null;
}
}
public List<UserVO> getAllNotificationDrop() throws Exception {
LOGGER.info("Entered new method ====> getAllNotificationDrop() ");
List<UserVO> users;
Session session = em.unwrap(Session.class);
try {
users = session.createSQLQuery("SELECT login_id as userId,first_name||' '||last_name as firstName "
+ " FROM user_master")
.addScalar("userId", StandardBasicTypes.STRING)
.addScalar("firstName", StandardBasicTypes.STRING)
.setResultTransformer(Transformers.aliasToBean(UserVO.class))
.list();
} catch (Exception e) {
throw new Exception("Error in getAllNotificationDrop",e);
} finally {
session.clear();
}
LOGGER.info("Method End ====> getAllNotificationDrop() ");
return users;
}
この問題の解決にご協力ください。ここ数日、手がかりがありません。