Как дезинфицировать и проверять вход пользователя в struts 1.3, чтобы пройти сканирование Checkmarx

Я запустил checkmarx в своем веб-проекте на основе Struts 1.3, он возвращает мне эту ошибку:

Метод, выполняемый в строке xxx из ...\action\AbstractAction.java, получает пользовательский ввод для элемента формы. Затем значение этого элемента проходит через код без надлежащей очистки или проверки и в конечном итоге отображается пользователю в методе %> в строке 1 ../xx.jsp . Это может привести к атаке с использованием межсайтовых сценариев.

Как правильно очистить или проверить правильность, чтобы удовлетворить Checkmarx?


security code-analysis checkmarx static-code-analysis struts-1
person L.SGHIR    schedule 08.03.2016    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Просто закодируйте значение перед тем, как распечатать его на странице JSP. Существует ряд различных кодировок, используемых для разных сценариев. Погуглите "шпаргалку по предотвращению xss OWASP". Checkmarx знаком с кодировщиками ESAPI.

person Amit    schedule 09.03.2016
comment
у вас есть пример с конфигурацией для реализации кодировщиков ESAPI. - person L.SGHIR; 11.03.2016