当前位置: 首页 > 知识库问答 >
问题:

如何从获取结果列表元素修复检查马尔克斯存储的XSS问题

闻人伟
2023-03-14

在 Java 中,在下面的行中:

TypedQuery<T> query=entityManger.createQuery(queryString, clazz);

List<T> result =query.getResultList();

也就是说,变量结果需要正确过滤或编码,否则可能会启用跨站点脚本攻击。

我已经使用了< code > html utils . html scape(query String) String对象

任何帮助和建议将不胜感激。谢谢

共有1个答案

冯沛
2023-03-14

Checkmarx将最终查看汇(输出)。然后必须在列表中的每个结果项中执行htmlEscape

List<T> newResult = new ArrayList<T>();
for (T temp : result) {
    newResult.add(HtmlUtils.htmlEscape((String) temp));
}
 类似资料:
  • 我有一个简单的核心java问题。我有一个包含多个响应代码的列表。我根据列表中的响应代码返回消息。对于其中一个场景,我必须检查列表中是否包含任何一个响应代码。我用以下方法完成了它,但它忽略了它,代码转到else块。因此,如果代码是ES03或ES04或其中任何一个,我希望填充emailValidationMessage变量,但它不这样做。 谢谢

  • 我不熟悉使用CRUD存储库。 我有一个包含三列的数据库表: course_id,姓名,当然 我想得到一份course\u id name的列表,例如, 但是,我不想使用查询,而是使用crud存储库。 我的控制器显示有错误。我可以知道有这个错误吗? 我的控制器 服务 存储库

  • 我收到循环条件检查问题的未检查输入 我尝试了推荐的代码处理,但它对我不起作用。 检查马克思报告的描述: 我尝试了下面的代码:

  • 在执行 HttpWeb 请求时获取检查火星路径遍历问题, checkmarx的错误消息:从headers元素获取动态数据。然后,这个元素的值流经代码,最终用于本地磁盘访问的文件路径。 我在标头中传递的唯一输入是用于访问 API 的令牌。有没有办法克服这个问题? 下面是代码,我从cookie中获取令牌,并将其与httpRequest一起传递。

  • 我正在做一个项目,我提取了美国GDP的API,然后从数据中创建了一个图表。现在我被问题的第一部分挂断了,因为我正在努力将JSON存储在变量中,以便在项目的其余部分使用它。我已经研究了其他一些线程,但还没有找到适合我的解决方案。 下面是我当前的代码。 目前,我可以在第二个函数中使用console.log(json)和console.log(jsondata)。然而,即使我在函数外部声明了变量,它也不

  • 我试图在玩家发牌后从套牌中拿走一张牌,这样那些牌就不会再发牌了。 但这是我的命令错误: