Question

我在下面得到了这个错误。使用ResponseWriter时。我该如何解决？

try {
   unifiedResponse = testController.updateData(testRequest);
} catch (RestClientResponseException e) {
    try {
        PrintWriter writer = response.getWriter();
        response.setContentType(MediaType.TEXT_PLAIN);
        response.setStatus(e.getRawStatusCode());
        writer.print(e.getResponseBodyAsString());
    } catch (IOException ex) {
        throw new ServiceException("Cannot get update Password error response body", ex);
    }
}

错误：

This use of java/io/PrintWriter.write(Ljava/lang/String;)V could be vulnerable to XSS

我的输出是JSON，HTMLEscape和OWASP创建了错误的格式，这是我需要的。

{ 
    "message": "Here is a test message"
}

OWASP输出：

{&#34;message&#34;:&#34;Here is a test message (e.g. !&#64;#$).&#34;}

SonarQube规则：

我尝试了SonarQube的官方解决方案，但仍然出现错误https://rules.sonarsource.com/java/RSPEC-5131/

Answer 1

XSS漏洞通常意味着从请求到响应的数据连接不中断。最简单的解决方案通常只是对来自请求的数据使用StringEscapeUtils.escapeHtml4这样的库。这将使得标签（所有XSS攻击的真正根源）将被转换为<；脚本%gt；其将在屏幕上呈现为脚本，但不会在浏览器中执行为脚本。希望这是有道理的。

友情链接