如何消毒和验证在Struts 1.3用户输入登录传递一个Checkmarx扫描

Question

我启动了我的web项目checkmarx基于Struts 1.3，它返回我这个错误：

方法执行在...\action\AbstractAction.java线XXX获取用户输入为表单元素。然后，此元素的值将在代码中流动，而不会被正确清理或验证，并最终在../xx.jsp的第1行的方法％>中显示给用户。这可能会导致跨站点脚本攻击。

如何正确清理或验证Checkmarx？

Answer 1

在您将其打印到JSP页面之前对其进行编码。有许多不同的编码用于不同的场景。谷歌“OWASP xss预防备忘单”。 Checkmarx熟悉ESAPI编码器。