JSP中的Veracode问题
我在下面的行中得到了veracode问题
<input type = "hidden" name = "studentName" value = "<%=viewBean.getStudName()%>">
问题出现在<%=viewBean.getStudName()%>上,这里报告的问题是“网页(基本XSS)中与脚本相关的HTML标记的不正确中和。我尝试了CWE.mitre.org中给出的修补程序,但无法正确应用。有没有人可以帮助解决这个问题?
共有2个答案
根据CWE,
软件接收来自上游组件的输入,但它不中和或不正确地中和诸如“<”、“>”和“&”之类的特殊字符,当它们被发送到处理web页面的下游组件时,这些字符可能被解释为web脚本元素。
您需要转义html,如果您按照@jigar的建议使用jstl标记,就可以这样做。
关于修复错误的一些信息,
- Veracode-网页中与脚本相关的HTML标记的不正确中和(基本XSS)
- 如何修复网页(Basic XSS)中与脚本相关的HTML标记的不正确中和并带有错误消息?
使用
<c:out value=${viewBean.studName}/>
相反,它转义xml
-
我有一个JSP页面,我从下面的属性文件中获取URL- 它的用法如下- 我收到了veracode问题CWE-80(网页中与脚本相关的HTML标记的不正确中和),用于。 有什么更好的方法可以解决这个Veracode问题?
-
在处出现veracode扫描错误。有人能帮我解决这个问题吗。我可以在这里用什么来解决这个问题。veracode问题id是CWE 564。
-
我的JSP页面中有以下代码- 通过这段代码,我想显示,无论减法的结果是什么,如果分数部分在前两位显示为零,整数部分显示为零,那么结果必须存储在变量mm中,并且石灰色应显示为maxFractionDigits=“2”minIntegerDigits=“2”等于减法的零。 但显示的是,如果结果为零,则只显示石灰。但我想,若整数部分和小数部分最多两位数为零,那个么石灰色也应该显示为列的背景。 例子- 假
-
我有一段代码,其中有veracode查找不适当限制XML外部实体引用('XXE')攻击。 代码: 我用过 但运气不好。
-
我正在编写一个利用时间的Web应用程序,所以我决定使用Joda库,更具体地说是Joda Time-JSP tags Version 1.1.1(可以在这里找到->www.Joda.org/joda-time-jsptags/) 我的代码是正确的,就站点解释的 <%PageContext.SetAttribute(“now”,new org.joda.time.dateTime());%> foll
-
我使用Eclipse和Glassfish从jsp/servlet中获取无效字符。 如果我输入“Pêche”,我会得到“Pêches”。这就是编码问题。我试了几次思考,但都没用。 我尝试添加过滤器(JSP中的编码问题) 我尝试在web.xml中添加jsp属性(在glassfish 3.1中无法将字符集从ISO-8859-1更改为UTF-8) 我试图改变字符编码我自己在java代码request.s