java - 如何清理和验证用户输入以通过 Checkmarx 扫描

Question

我有一个从客户端接收字符串的端点，如下所示：

@GET
@Path("/{x}")
public Response doSomething(@PathParam("x") String x) {
    String y = myService.process(x);
    return Response.status(OK).entity(y).build();
}

Checkmarx 抱怨说这个元素的值“在没有经过适当清理或验证的情况下流经代码，并最终在方法 doSomething 中显示给用户”

然后我尝试了这个：

@GET
@Path("/{x}")
public Response doSomething(@PathParam("x") String x) {
    if (StringUtils.trimToNull(x) == null || x.length() > 100) { 
        throw new RuntimeException(); 
    }
    x = x.replace("'", "").replace("`", "").replace("\\", "").replace("\"", "")
    String y = myService.process(x);
    y = y.replace("'", "").replace("`", "").replace("\\", "").replace("\"", "")
    return Response.status(OK).entity(y).build();
}

但它仍然认为这是一个高严重性漏洞。

如何正确清理或验证以通过 Checkmarx 扫描？

score 16 · Accepted Answer

来自的HtmlUtilsspring-web完成了工作：

HtmlUtils.htmlEscape(x)

Maven依赖：

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-web</artifactId>
    <version>5.1.7.RELEASE</version>
</dependency>

score 3 · Accepted Answer

3

在 .Net framework > 4.0 中使用 AntiXSS

AntiXssEncoder.HtmlEncode()

于 2019-01-31T21:18:08.290 回答

java - 如何清理和验证用户输入以通过 Checkmarx 扫描

2 回答 2

Related

Reference