XSS持久性漏洞

时间:2012-10-05 20:31:39

标签: xss jdbctemplate

Fortify scanner / profiler建议db输出在下面的代码中标记XSS持久性漏洞。它甚至没有外部参数或连接!有什么建议吗?

提前致谢

public List<String> getExtensions() {
    return jdbcTemplate.query(
        "SELECT ext FROM document_type GROUP BY ext",
        new RowMapper<String>() {
            public String mapRow(ResultSet results, int rowNum) throws SQLException {
                return results.getString(1);                    
            }
        }
    );
}

1 个答案:

答案 0 :(得分:0)

你确定你没有误解结果吗?这可能是加载XSS(由其他一些SQL存储)的地方,但实际的XSS发生在将数据放入网页的地方。