1
Fortify扫描器/分析器建议数据库输出在下面的代码中标记为XSS持久性漏洞。它甚至没有外部参数或连接!任何建议?XSS持久性漏洞
在此先感谢
public List<String> getExtensions() {
return jdbcTemplate.query(
"SELECT ext FROM document_type GROUP BY ext",
new RowMapper<String>() {
public String mapRow(ResultSet results, int rowNum) throws SQLException {
return results.getString(1);
}
}
);
}
我的印象是,XSS持久性通常来自DB,而XSS反射则来自Web界面。 你是对的,实现getExtensions()的方法最终将未经验证的输出放到网络中。序列是query_return() - > getExt_return() - > web界面,query_return()由Fortify分析器标记为db输出受污染的原点。 谢谢 – user1366399