Question

我一直在解决有关持久性XSS攻击的安全问题，我能够使用fortify分析问题。

将未经验证的数据发送到网络浏览器，这可能导致浏览器执行恶意代码。

代码是Java。

void output(OutputStream out){
  out.write(byteData);  //byteData is a data member of the class of type byte[].
}

在上面代码段的第（2）行，我收到了xss攻击的通知。那我怎么验证呢？

Answer 1

在将数据发送到OutputStream

之前，您必须对其进行验证

void output(OutputStream out) {
    // Validate byteData code here
    out.write(byteData);
}

验证意味着检查代码是否遵守您要为其设置的规则。例如，如果您只想发送数字，可以确保您的byteData在发送之前只包含数字。