checkmarx报道reflected _ XSS _所有_客户截击
我的Android应用项目使用检查玛克斯扫描源代码以查找安全问题。检查马克思报告了谷歌排球图书馆的问题。以下是错误说明:
方法performRequest位于\ app \ libraries \ valley \ src \ main \ Java \ com \ Android \ valley \ toolbox \ hurl stack . Java的第89行,用于获取getHeaders元素的用户输入。然后,此元素的值在没有经过适当清理或验证的情况下流经代码,并最终在\ app \ libraries \凌空\ src \ main \ java \ com \ android \凌空\toolbox\JsonArrayRequest.java的第61行的方法parseNetworkResponse中显示给用户。这可能会导致跨站点脚本攻击。
public HttpResponse performRequest(Request<?> request, Map<String, String> additionalHeaders)
throws IOException, AuthFailureError {
String url = request.getUrl();
HashMap<String, String> map = new HashMap<String, String>();
map.putAll(request.getHeaders());
map.putAll(additionalHeaders);
....
}
它说请求的头被缓存,稍后在< code > JsonArrayRequest::parseNetworkResponse 中显示给用户。然而,我找不到它显示给用户。这是虚惊一场吗?Android应用程序在什么情况下可能会发生跨站点脚本攻击?只有在使用webview时才会出现这种情况吗?
共有1个答案
我先回答你最后一个问题。是的,几乎只有网络浏览量受到影响。另一种(不太常见的)情况是将XSS有效负载保存到文件中,然后由浏览器打开。
HTTP头被认为是XSS的有效载体,所以它看起来不像是一个错误的警报。这里有两个资源可供进一步阅读:
- HTTP标头中的跨站点脚本
- CWE-79:网页生成期间输入的不正确中和(“交叉脚本”)
-
Checkmarx扫描仪扫描“反射XSS所有客户端”。如何在JavaRESTAPI中解决这个问题? 本地运行了REST API服务的扫描。
-
我们在应用程序中使用了Open-Feign,它运行在Spring Boot 2.0.6和Spring Cloud Finchley上。SR2。 我们需要所有的费恩客户端在每次调用的标头中从安全上下文中添加一个令牌,因此我们创建了一个配置,为所有客户端生成一个全局拦截器: 拦截器适用于除一个外的所有外国客户。在调试器中,我们可以看到,这个特殊的外部客户机(以及它的SynchronousMessage
-
我正在将我的“普通NIO”(=我直接使用了JDK中的软件包)TCP服务器迁移到Netty 4。 我有向所有客户端发送消息的线程,例如运行状况检查数据包,聊天消息广播,直接聊天消息到单个客户端,...使用我保留在某处集合。 我如何在Netty中做到这一点?在一个Netty处理程序和需要发送消息的线程之间共享一个ChannelGroup是否明智?该通道将如下所示: 在所有线程中,我将简单地执行以下操作
-
问题内容: 是否可以强制所有客户端使用socket.io更新?我尝试了以下操作,但是当新客户端连接时,它似乎没有更新其他客户端: 服务器端JavaScript: 我正在尝试向所有客户端发送一条消息,其中包含当前已连接的用户数,它可以正确发送用户数量…。但是,客户端本身似乎不会更新,直到刷新页面为止。我希望这是实时发生的。 客户端JavaScript: 问题答案: 实际上,它根本没有向其他客户端发送
-
由于permissions API调用不返回所有者的电子邮件和名称,所以我无法通过编程方式查看文件列表并转移所有权。我希望不必添加数据库来查找姓名和电子邮件,并将其与供应API绑定在一起。 谢谢你的任何建议。
-
这是我的代码: 服务器: 客户: 它可以正常工作,除了我希望当服务器向客户端发送“消息”“|MOD”时,我希望服务器将其发送给所有客户端,我该怎么做? 我是Java新手,但不是编码新手,所以如果我做错了一些可以做得更容易或更好的东西,请帮助我。 请帮忙。 非常感谢。