gpt4 book ai didi

java - 修复 Checkmarx XSS 漏洞

转载 作者:行者123 更新时间:2023-12-01 18:31:30 31 4
gpt4 key购买 nike

Checkmarx 为我的 Controller 类中的以下方法提供了 XSS 漏洞。具体来说:该元素的值 (ResultsVO) 然后在没有经过适当清理或验证的情况下流经代码,并最终在方法中显示给用户:

 @RequestMapping(value = "/getresults", method = RequestMethod.POST, produces = "application/json")
@ResponseBody
public ResultsVO getConfigResults(@RequestBody ResultsVO resultsVO, HttpServletRequest request)
throws OverrideApplicationException {
String loggedUserId = request.getHeader("USER");
return resultsService.getConfigResults(resultsVO, loggedUserId);
}

ResultsVO 对象有很多 String 属性,我只是想知道是否有一种优雅的方法对它们进行编码以防止此漏洞。

最佳答案

试试这个——它对我有用:)

resultsVO = SecurityUtil.sanitizeObject(resultsVO, ResultsVO.class);

public static <T> T sanitizeObject(Object object, Class<T> classOfT){
Gson gson = new Gson();
String json = Jsoup.clean(StringEscapeUtils.escapeHtml4(gson.toJson(object)), Whitelist.basic());
return gson.fromJson(json, classOfT);
}

Checkmarx 将解决您报告的问题。 :)

希望它会有所帮助 - 如果有效,请投票

关于java - 修复 Checkmarx XSS 漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60159583/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com