Мне нужно исправить проблему для уязвимости xss. сегмент кода ниже.XSS УЯЗВИМОСТЬ ДЛЯ XML - response.getWriter(). Write (xml.toString());
StringBuffer xml = new StringBuffer();
xml.append("<?xml version=\"1.0\"?>");
xml.append("<parent>");
xml.append("<child>");
for(int cntr=0; cntr < dataList.size(); cntr++){
AAAAA obj = (AAAAA) dataList.get(cntr);
if(obj.getStatus().equals(Constants.ACTIVE)){
xml.append("<accountNumber>");
xml.append(obj.getAccountNumber());
xml.append("</accountNumber>");
xml.append("<partnerName>");
xml.append(obj.getPartnerName());
xml.append("</partnerName>");
xml.append("<accountType>");
xml.append(obj.getAccountType());
xml.append("</accountType>");
xml.append("<priority>");
xml.append(obj.getPriority());
xml.append("</priority>");
}
}
xml.append("</child>");
xml.append("</parent>");
response.getWriter().write(xml.toString());
response.setContentType("text/xml");
response.setHeader("Cache-Control", "no-cache");
Вопрос заключается в линии, имеющей синтаксис response.getWriter() писать (XML.toString()). В нем говорится, что он уязвим для атаки xss. Я сделал достаточную работу на дому, а также установил ESAPI 2.0. но я не знаю, как реализовать решения. Пожалуйста, предложите решение.
вы можете предоставить мне полный соответствующий сегмент кода для сериализации xml, который вы использовали. –
Здесь вы можете найти пример, поиск метода generateXML: https://dev.saxonica.com/repos/archive/opensource/latest9. 4/Хей/нетто/SF/саксонской/сериализации/codenorm/UnicodeDataGenerator.java –