小贝子编程

如何从getResultList元素修复Checkmarx存储的XSS问题

本文关键字：存储 Checkmarx XSS 问题 getResultList 元素 java xss checkmarx secure-coding
更新时间 : 2023-09-18
英文 : How to Fix Checkmarx Stored XSS issue from a getResultList element

在Java中，在下面的行中：

TypedQuery<T> query=entityManger.createQuery(queryString, clazz);
List<T> result =query.getResultList();

据说，变量结果需要正确过滤或编码，否则可能会引发跨站点脚本攻击。

我已经使用了HtmlUtils.htmlEscape(queryString)字符串对象。

如有任何帮助和建议，我们将不胜感激。感谢

Checkmarx最终将查看sink(输出(。然后，您必须在列表中的每个结果项中执行htmlEscape

List<T> newResult = new ArrayList<T>();
for (T temp : result) {
newResult.add(HtmlUtils.htmlEscape((String) temp));
}

最新更新

在Django Rest框架中通过属性或自定义字段来排序模型
获取下面字符串中倒数第二个单词
连接所有JSON对象字符串值
如何了解tensorflow模型的tensorflow版本?
如何使用queryInterface.bulkUpdate从Sequelize当有必要检查一个键是否存在于jsonb列?
jQuery Datatables 按钮：['excel'] 在 document.ready() 中构建表时不起作用，但在动态构建表时起作用
r语言 - 我如何创建一个新的列，根据两个列中的行分配的条件值?
在Django中从文件路径生成媒体url
Python:为什么我在这两个问题上得到typeerror ?(递归)
每秒请求数
在Swagger UI中是否有一种方法可以在POST上隐藏某个字段(例如Employee ID)，但在PATCH和GET
c语言 - MISRA 要求函数的单点出口用于"lookup table"函数
如何在处理git分支时忽略文件
字符串自定义日期时间格式解析c#
SQL中基于日期的运行总数
在json对象中选择正确的单词
如何使用ansible打开SSH隧道?
PHP make if语句从表中返回新行
SwiftUI：Foreach in List - 有什么优势？
如何加载所有转储附加的字典在python pickle?
Jmeter语言 - 当前活动线程
Java作用域问题:try-catch块，解析字符串到日期
如何在主应用中获得UWP应用服务的通知?
复选框的定位
弹簧启动-采用与2个ymls不同的属性
Symfony 5.3+翻译提供商Crowdin不更新本地文件
从文本文件(.txt)中读取字节数组
如何下载完整的雅典娜查询结果到CSV文件
pyspark:在执行join - restrict相同列名选择时设置别名
如何在Eclipse RCP中隐藏/删除Preferences对话框中的导入/导出按钮

如何从getResultList元素修复Checkmarx存储的XSS问题

相关内容

最新更新

热门标签：