如何在jsp中修复cwe-80 xss?
<%
String ans = "";
ans = SpecialCharacter.getEscapeString((String)request.getAttribute("ans"));
%>
<input type="text" class="txt long" name="ans" id="ans" maxlength="48" value="${ans}"/>
我有像上面这样的代码,我已经在使用模板文字来替换值,但是veracode扫描仍然显示它易受xss攻击。在这种情况下我该如何修复?
共有1个答案
使用OWASPJava编码器使用
-
在处出现veracode扫描错误。有人能帮我解决这个问题吗。我可以在这里用什么来解决这个问题。veracode问题id是CWE 564。
-
Spring global方法记录如下异常: Veracode scan指出,该日志有,并建议使用ESAPI日志记录器。有没有什么方法可以在不将记录器更改为ESAPI的情况下修复此漏洞?这是我在代码中唯一面对这个问题的地方,我试图找出如何用最少的更改来修复它。也许ESAPI有一些我没有注意到的方法? ESAPI有log4j记录器和记录器工厂的扩展。可以在esapi.properties中配置要使用
-
问题内容: 有一个Spring全局方法记录如下异常: Veracode扫描说此日志记录已经并建议使用ESAPI记录器。有什么方法可以解决此漏洞而无需将记录器更改为ESAPI?这是我在代码中唯一遇到此问题的地方,我试图找出如何用最少的更改来解决它。也许ESAPI有一些我没有注意到的方法? PS Current logger是slf4j上的Log4j UPD: 最后,我使用了ESAPI记录器。我以为它
-
我的软件使用RabbitMQ进行通信。然而,Veracode已从amqp客户端库中标记CWE 117(日志的输出中和不正确)。 我已经尝试升级到最新版本(4.11.3),但Veracode仍然不让我通过。我无法进一步升级,因为我的软件是用Java7编写的,客户端没有任何升级到Java8的计划。 我可以在我的软件代码中做些什么来解决CWE 117问题吗?
-
我尝试使用clean=message.replace('\n','').replace('\r','')。但它仍然无法通过veracode扫描。有什么更好的方法做这件事吗?另外,我阅读了关于ESAPI、Python的文章,但没有得到任何好的文档来修复这个问题。
-
因此,当我们的web应用程序被扫描以查找Veracode时,我会发现许多跨站点脚本缺陷, “Web页面中与脚本相关的HTML标记的不当中和(Basic XSS)”(CWE ID 80)。 而且,由于我们有几个缺陷,我不知道如何解决这个特殊的情况。下面是我的代码- 我可以看到在和行。 我知道,对于文本,我可以使用类似的东西来清除字符串。 但是,我不明白为什么veracode报告是因为本身不安全吗?