Fortify在我的JSF2.2.1/primeffaces项目中发现了两行代码的跨站点脚本:较差的验证安全问题。
<p:treeTable id="tree_dt" value="#{OrganizasyonYetkinlikVeriGirisBean.root}" var="organizasyon">
<p:column headerText="Ünite Adı" style="width:350px" filterBy="#{organizasyon.uniteAdi}" filterMatchMode="contains">
**<h:outputText value="#{organizasyon.uniteAdi}" escape="true"/>**
</p:column>
<p:treeTable id="tree_dt" value="#{OrganizasyonYetkinlikVeriGirisBean.root}" var="organizasyon">
<p:column headerText="Ünite Adı" style="width:25%" filterBy="#{organizasyon.uniteAdi}" filterMatchMode="contains">
**<h:inputTextarea value="#{organizasyon.uniteAdi}" readonly="true" rows="2" escape="true"/>**
</p:column>
我已经隐含地添加了escape=";真";但是,问题仍然存在。
treeTable、column和inputTextArea的属性列表中都没有转义。
您的扫描仪可能没有指向正确的标记行,但可能正在查看正确的页面。查找其他具有escape属性的对象以及treeTable,并将其设置为true。