0

我的休息服务从 UI 中获取“ids”参数。我的控制器如下

@RestOutMessage
deleteEntry(List<String> ids) {
    .......
}

我在我的应用程序上运行了 Checkmarx,它突出显示了“ids”,并报告说它容易受到 XSS 和其他 HTML 注入攻击。

我的代码在内部使用entityManager.delete(id). 我不确定这是否安全,或者我如何解释这是否安全。

4

1 回答 1

0

我不熟悉 checkmarx,但你的问题的核心。我真的不明白这行代码与 XSS 或 HTML 注入有什么关系。您可能应该只担心 SQL 注入,并且在这方面您是安全的 - Hibernate 在下面使用 PreparedStatement。

于 2018-05-02T15:54:13.630 回答