网页(XSS)中脚本相关HTML标记的不当中和
任何人都可以帮助我了解出了什么问题。
@ResponseBody
@RequestMapping(value = "/compare", method = RequestMethod.POST,
produces = { "application/json" })
public List<A> compareDocument(HttpServletRequest request,
@RequestBody B b) {
C c = new C();
c.setSourceContactCode(b.getTargetContactID());
c.setSourceProfileID(b.getTargetProfileID());
B b= this.Service.getAllPortfolio(c);
List<A> targetDocument = b.getDocuments();
return this.Service.compareDocument(b, targetDocument);
}
veracode向我显示以下错误:
c.setSourceProfileID(b.getTargetProfileID());
B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。
共有1个答案
(B) b 对象来自请求(用户输入),因此 Veracode 将其视为不受信任的数据。有人可以在那里放置可以执行的脚本代码。例如:
<script>alert('Collect data and send to my server or other actions');</script>-
我的项目客户希望所有的应用程序都是Veracode兼容的................................................................................. 提供扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。 报告的一些行有: 什么类型的修复程序可以应用于解决这些交叉脚本缺陷??
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
我继承了一个遗留应用程序,下面给出了一段代码。 Veracode在'out.println()'处抛出一个异常“Web页面中与脚本相关的HTML标记(Basic XSS)的不当中和”。 有谁能告诉我这个问题应该如何解决吗?如有任何帮助,将不胜感激。
-
我正试图用我的代码修复一些XSS错误。#GetEmailRecord是包含问题的行。我如何修复这样一段代码?错误:网页中与脚本相关的HTML标记的中性化不当(基本XSS)。Veracode清理解决方案:coldfusion.runtime.cfpage.htmleDitFormat 谢了!这是我第一次做这样的事情,所以任何帮助都非常感谢。
-
不确定对我的答复我需要申请什么样的验证。
-
最近,我们在web应用程序上运行了VeraCode。我们得到了CWE80,Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS),在下面的行中 有人有什么建议如何解决这个问题吗?