1

Fortify 扫描器/分析器建议 db 输出被污染,在下面的代码中标记 XSS 持久性漏洞。它甚至没有外部参数或连接!有什么建议吗?

提前致谢

public List<String> getExtensions() {
    return jdbcTemplate.query(
        "SELECT ext FROM document_type GROUP BY ext",
        new RowMapper<String>() {
            public String mapRow(ResultSet results, int rowNum) throws SQLException {
                return results.getString(1);                    
            }
        }
    );
}
4

1 回答 1

0

你确定你没有误解结果吗?这可能是加载 XSS(由其他一些 SQL 存储)的地方,但实际的 XSS 发生在将数据放入网页的地方。

于 2012-10-06T08:07:07.253 回答