Fortify scanner / profiler建议db输出在下面的代码中标记XSS持久性漏洞。它甚至没有外部参数或连接!有什么建议吗?
提前致谢
public List<String> getExtensions() {
return jdbcTemplate.query(
"SELECT ext FROM document_type GROUP BY ext",
new RowMapper<String>() {
public String mapRow(ResultSet results, int rowNum) throws SQLException {
return results.getString(1);
}
}
);
}
答案 0 :(得分:0)
你确定你没有误解结果吗?这可能是加载XSS(由其他一些SQL存储)的地方,但实际的XSS发生在将数据放入网页的地方。