我的jsp中的Veracode扫描检测问题(CWE ID 80):
You can create XML Layout like this way
<?xml version="1.0" encoding="utf-8"?>
<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android"
android:id="@+id/rl"
android:layout_width="match_parent"
android:layout_height="match_parent"
android:background="@color/color_bg"
android:orientation="vertical">
<android.support.design.widget.TextInputLayout
android:id="@+id/tv_user_name"
android:layout_width="match_parent"
android:layout_height="wrap_content"
android:layout_centerHorizontal="true"
android:layout_margin="@dimen/common_layout_dimen_10"
android:textColorHint="@color/color_black">
<EditText
android:id="@+id/et_user_name"
android:layout_width="match_parent"
android:layout_height="wrap_content"
android:ellipsize="end"
android:hint="@string/lbl_name"
android:imeOptions="actionNext"
android:inputType="textCapWords"
android:maxLines="1"
android:singleLine="true"
android:textColor="@color/color_black"
android:textSize="@dimen/common_text_size_20" />
</android.support.design.widget.TextInputLayout>
</RelativeLayout>
,其中
<a href="javascript:constructURL('${id}','${type}');">
这是什么问题?我需要转义URL吗?我无法看到攻击者如何更改URL,如果它更改了ID,例如响应将是403.Veracode在这里说什么以及如何防止未来的XSS攻击?
注意: ConstructQString对传递的参数进行编码。