일반적으로 보안 취약점을 감지하기 위해 veracode를 사용하여 코드 변경 사항을 검사합니다.이 C : 아웃에서 XSS를 피하는 방법은 무엇입니까?
out.println(<%= custFunctionality %>);
음 베라 코드는 스캔 나를는 보안 결함을 구성 있음을 알려 : 지금은 custFunctionality
라는 문자열을 수집하고 이전에 내가 같이 JSP이 표시 된 DB의 문자열이있다.
c: out
을 사용 :
<c:out escapexml='false' value='${custFunctionality }'/>
이제 문제는 여기 문자열가 나는 페이지와 내가 포기하지 않는 경우에 표시해야합니다 특수 문자를 HTML 관련 표시로 구성되어 있다는 것입니다 escapexml='false'
해당 문자 및 마크 업은 구체화되지 않습니다. 그러나 여기에 코드에 escapexml='false'
문자열이 있기 때문에이 파일을 다시 스캔 한 후에 발견 한 veracode의 보안 결함을 구성합니다.
누구나 나를이 늪에서 대체 솔루션으로 제안 할 수 있습니까?
모든 솔루션 사람들이 있습니까? –
"HTML 관련 마크 업과 특수 문자로 구성된 문자열"- 페이지 HTML의 일부로 브라우저에 의해 해석되거나 시각적으로 사용자에게 표시되도록해야하는지 명확하게 설명 할 수 있습니까? – u2702
@ u2702 : 시각적으로 그리고 때로는 HTML 페이지의 일부로 사용자에게 표시됩니다. –