如何消毒和驗證在Struts 1.3用戶輸入登錄傳遞一個Checkmarx掃描

Question

我啓動了我的web項目checkmarx基於Struts 1.3，它返回我這個錯誤：

方法執行在...\action\AbstractAction.java線XXX獲取用戶輸入爲表單元素。然後，此元素的值將在代碼中流動，而不會被正確清理或驗證，並最終在../xx.jsp的第1行的方法％>中顯示給用戶。這可能會導致跨站點腳本攻擊。

如何正確清理或驗證Checkmarx？

Answer 1

在您將其打印到JSP頁面之前對其進行編碼。有許多不同的編碼用於不同的場景。谷歌「OWASP xss預防備忘單」。 Checkmarx熟悉ESAPI編碼器。