如何清理和验证用户输入以通过 Checkmarx 扫描

2024-04-10

我有一个端点从客户端接收字符串，如下所示：

@GET
@Path("/{x}")
public Response doSomething(@PathParam("x") String x) {
    String y = myService.process(x);
    return Response.status(OK).entity(y).build();
}

Checkmarx 抱怨这个元素的值然后“在没有经过适当清理或验证的情况下流经代码，并最终在方法 doSomething 中显示给用户”

然后我尝试了这个：

@GET
@Path("/{x}")
public Response doSomething(@PathParam("x") String x) {
    if (StringUtils.trimToNull(x) == null || x.length() > 100) { 
        throw new RuntimeException(); 
    }
    x = x.replace("'", "").replace("`", "").replace("\\", "").replace("\"", "")
    String y = myService.process(x);
    y = y.replace("'", "").replace("`", "").replace("\\", "").replace("\"", "")
    return Response.status(OK).entity(y).build();
}

但它仍然认为这是一个高严重性漏洞。

如何正确清理或验证以通过 Checkmarx 扫描？

html工具 https://docs.spring.io/spring/docs/current/javadoc-api/org/springframework/web/util/HtmlUtils.html from spring-web完成了工作：

HtmlUtils.htmlEscape(x)

Maven 依赖：

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-web</artifactId>
    <version>5.1.7.RELEASE</version>
</dependency>

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

security

codeanalysis

staticcodeanalysis

checkmarx

如何清理和验证用户输入以通过 Checkmarx 扫描的相关文章

存根方法时出现 InvalidUseOfMatchersException

我有这个 TestNG 测试方法代码 InjectMocks private FilmeService filmeService new FilmeServiceImpl Mock private FilmeDAO filmeDao Bef
createImage(int width, int height) 的问题

我有以下代码作为游戏的一部分每 10 毫秒运行一次 private void gameRender if dbImage null createImage returns null if GraphicsEnvironment isHea
Spring Security 自定义过滤器

我想自定义 Spring security 3 0 5 并将登录 URL 更改为 login 而不是 j spring security check 我需要做的是允许登录目录并保护 admin report html 页面首先我使用教
@RestController 没有 @ResponseBody 方法工作不正确

我有以下控制器 RestController RequestMapping value base url public class MyController RequestMapping value child url method Req
使用 GWT 读取非常大的本地 XML 文件

我正在使用 GWT 构建我的第一个 Java 应用程序它必须从一个非常大的 XML 文件中读取数据当我尝试发送对文件中信息的请求时遇到问题并且我不太确定它是否与文件的大小或我的语义有关在我的程序中我有以下内容 static fin
打印星号的 ASCII 菱形

我的程序打印出这样的钻石但只有当参数或菱形的每一面为4 例如如果我输入6 底部三角形的间距是错误的我一直在试图找出答案当参数改变时底部的三角形不会改变只有顶部的三角形会改变它只适用于输入4 public static void
如何在 Visual Studio 2010 Professional 中启用代码分析？

我可以看到我们可以在 Visual Studio Team Systems 中启用代码分析但我使用的是 Visual Studio 2010 Professional 我们是否可以选择在此版本中启用代码分析或者我们可以将 FxCop 和
在 Wildfly 中与 war 部署共享 util jar 文件

假设我有一个名为 util jar 的 jar 文件该 jar 文件主要包含 JPA 实体和一些 util 类无 EJB 如何使这个 jar 可用于 Wildfly 中部署的所有 war 无需将 jar 放置在 war 的 WEB IN
Integer.parseInt("0x1F60A") 以 NumberformatException 结束

我尝试从数据库中获取长字符串内的表情符号代码格式如下 0x1F60A 所以我可以访问代码但它将是String 起初我尝试通过执行以下操作来转换变量tv setText beforeEmo getEmijoByUnicode int e
大数据使用什么数据结构

我有一个包含一百万行的 Excel 工作表每行有 100 列每行代表一个具有 100 个属性的类的实例列值是这些属性的值哪种数据结构最适合在这里使用来存储数百万个数据实例 Thanks 这实际上取决于您需要如何访问这些数据以及您想要
当客户端关闭连接时，Spring StreamingResponseBody 请求线程未清理

我在控制器中有一个端点它返回一个StreamingResponseBody 用于向客户端发送文件其代码大致如下 RestController RequestMapping value api public class Controlle
什么时候可以在 Java 中使用 Thead.stop() ？

Thread stop 的 Java 文档听起来好像如果您调用 Thread stop 世界就会终结已弃用这种方法本质上是不安全的停止线程 Thread stop 导致它解锁所有已锁定的监视器作为未经检查的 ThreadDeath
使用 JUnit 时，有没有办法验证测试方法中是否调用了 try/catch 指令的 Catch 部分？

例如如果我想测试以下课程 public class SomeClass public void someMethod try Some code where comething could go wrong catch Exception
如何使用 Hibernate (EntityManager) 或 JPA 调用 Oracle 函数或过程

我有一个返回 sys refcursor 的 Oracle 函数当我使用 Hibernate 调用该函数时出现以下异常 Hibernate call my function org hibernate exception Generic
在另一个模块中使用自定义 gradle 插件模块

我正在开发一个自定义插件我希望能够在稍后阶段将其部署到存储库因此我为其创建了一个独立的模块在对其进行任何正式的 TDD 之前我想手动进行某些探索性测试因此我创建了一个使用给定插件的演示模块到目前为止我发现执行此操作的唯一方法
了解joda时间PeriodFormatter

我以为我明白了但显然我不明白你能帮我通过这些单元测试吗 Test public void second assertEquals 00 00 01 OurDateTimeFormatter format 1000 Test public
HashMap 值需要不可变吗？

我知道 HashMap 中的键需要是不可变的或者至少确保它们的哈希码 hashCode 不会改变或与另一个具有不同状态的对象发生冲突但是 HashMap中存储的值是否需要与上面相同为什么或者为什么不这个想法是能够改变值例如在其上调
JMenu 中的文本居中

好吧我一直在网上寻找有关此问题的帮助但我尝试的任何方法似乎都不起作用我想让所有菜单文本都集中在菜单按钮上当我使用setHorizontalTextPosition JMenu CENTER 没有变化事实上无论我使用什么常量菜单
是否可以使用 Java Guava 将函数应用于集合？

我想使用 Guava 将函数应用于集合地图等基本上我需要调整 a 的行和列的大小Table分别使所有行和列的大小相同执行如下操作 Table
将 Apache Camel 执行器指标发送到 Prometheus

我正在尝试转发添加 Actuator Camel 指标 actuator camelroutes 将交换交易数量等指标发送到 Prometheus Actuator 端点有没有办法让我配置 Camel 将这些指标添加到 Promet

随机推荐

如何在selenium中获取和设置文本编辑器值

我的网页上有文本编辑器我需要使用 c 中的 selenium 脚本填充其值我知道如何为文本框执行此操作我已经检查了流程在文本框中设置值 https stackoverflow com questions 10557196 using
如何隐藏 optgroup/option 元素？

有没有办法隐藏option or optgroupHTML 元素我试过打电话hide 在 jQuery 中也使用常规 Javascript 来设置style display none 它可以在 Firefox 中运行但不能在任何其他浏
带有 REST API 的 Ruby on Rails

我对 Ruby on Rails 很陌生虽然我喜欢所提供的组织和标准但我对如何让 Rails 在这种特定情况下为我工作感到有点困惑我有一个 Web 服务我想将其与 Rails 应用程序一起使用直接连接到数据库会很好并且可以立即为
GXT 3.x EditorGrid：逐个单元选择单元格编辑器类型

无论如何是否可以逐个单元地定义编辑器类型GXT 3 0 我需要创建一个转置表列变成行行变成列在这种情况下一列从普通表的角度来看将具有不同的编辑器类型而行将具有相同的编辑器类型我正在尝试使用以下方法它似乎工作正常并允许根
使输入类型=“密码”在移动设备上使用数字键盘

在我为移动设备设计的网站上我有一个用于 PIN 码的输入字段我希望在输入文本时隐藏文本并且希望当移动设备上的用户想要输入 PIN 码时弹出数字键盘当类型数字时数字键盘会弹出但当类型密码时数字键盘不会弹出并且我无法或
如何在 Access 开发中使用版本控制？

我参与更新 Access 解决方案它有大量的 VBA 大量的查询少量的表格以及一些用于数据输入和报告生成的表单它是 Access 的理想候选者我想更改表设计 VBA 查询和表单如何使用版本控制跟踪我的更改我们使用 Subvers
C 中的类型转换会变得香蕉吗？ [关闭]

Closed 这个问题需要调试细节 help minimal reproducible example 目前不接受答案看来 C 和我对这里的预期输出存在分歧 I have struct r struct int r i float r f
有没有办法打印到输出控制台？（双猫3）

有没有办法使用结构化文本打印输出到控制台例如 VB NET 中的 debug print 双猫3 您可以通过 TwinCAT 代码通过 ADS 命令发送消息该函数称为ADSLOGSTR https infosys beckhoff co
Cordova：意外的机器代码 - 您上传的内容同时包含位代码和本机机器代码

我正在构建一个 iOS Cordova 应用程序当我将其上传到 iTunes Connect 时它返回以下错误意外的机器代码您上传的内容同时包含位代码和本机机器代码当您提供位码时无需也包含机器代码要减少上传的大小请使用 Xc
如何让实体框架更新复杂类型？

我正在使用实体框架 EF 从存储过程创建复杂类型最近存储过程发生了变化添加了更多返回值我想更新映射到该存储过程的复杂类型这可能吗如果可以如何实现我目前正在每次删除我的函数导入和复杂类型存储过程更改这很可能不是最好的方法我
何时使用 RedirectToAction 以及何处使用 RedirectToRouteResult？

Question 在什么情况下我可以使用RedirectToAction以及在哪里使用RedirectToRouteResult 我有两个如下所示的操作方法方法 1 public class ActionResultTypesContr
如果我有使用 Google App Script 的缩略图链接，如何在 Google SpreadSheet 中显示缩略图？

我正在实施 Google Apps 脚本并尝试在 Google Spread Sheet 中显示数据我能够正确显示文本数据但我有一个视频的缩略图 URL 我想在电子表格单元格中显示它即我想显示与我的 java 脚本变量对象中的 UR
从具有动态外部 IP 的计算机连接到 Azure SQL Server

我正在尝试将具有动态外部 IP 的本地笔记本电脑连接到我们的 Azure SQL Server 为此我创建了一个虚拟网络网关并将笔记本电脑连接到该网关此外我还向 SQL Server 添加了一个专用端点之后我可以使用telnet成
如何在 React 应用程序中使用 Tesseract.js

我正在使用 React 开发一个应用程序我希望能够加载图片然后让 Tesseract js 将其转换为文本我正在使用react dropzone加载图像文件我可以使用img标签将图像添加到页面但是当我尝试使用 Tesseract
如何在 Python 中实现安全的 WebSocket (wss://) 服务器？

我想提供一个实时流由于敏感数据必须对其进行安全加密我已经使用 gevent 和 Gunicorn 作为直接前端成功获得了正常的 WebSocket 流但现在我需要确保其安全并且正在寻找其中一个可以提供安全 WebSocket 连接
Mavericks 上的 Rails + MySQL - 库未加载：libmysqlclient.18.dylib

当我运行 Rails 时 rails s 在我的本地主机 OSX Mavericks 上应用程序我收到此错误 message Users adam rvm gems ruby 2 0 0 p481 gems mysql2 0 3 16 l
从eek-for-android 访问时，Javacard 小程序 RPDU 不包含任何数据

我有一个复杂的 Javacard 小程序它是为普通智能卡例如 NXP J3E145 T 1 开发和测试的现在我必须在手机的 UICC 中使用它并从我的 Android 应用程序访问它 UICC使用T 0协议当我从普通读卡器 Omni
将 WM_CONCAT 转换为 Listagg

我的 DBA 正在将我的 oracle 数据库从 v10 升级到 v12 我有一些旧的 SP 正在使用wm concat我需要将其更改为listagg 有问题的代码是这样的 Select registration id package se
库斯托！has_any |其中 value 不包含集合中的任何值

Kusto 中是否有内置方法来检查某个值是否不包含多个项目我知道我可以使用 has any 来检查某个项目是否包含集合中的任何值但我似乎无法让它与一起使用操作员例子 let Employees datatable Id int N
如何清理和验证用户输入以通过 Checkmarx 扫描

我有一个端点从客户端接收字符串如下所示 GET Path x public Response doSomething PathParam x String x String y myService process x return Res

如何清理和验证用户输入以通过 Checkmarx 扫描

如何清理和验证用户输入以通过 Checkmarx 扫描 的相关文章

随机推荐

热门标签

如何清理和验证用户输入以通过 Checkmarx 扫描的相关文章