我正在使用REST WebService返回字节数据流。 我使用这个字节数据来创建一个PDF文件。现在我没有在将此字节数据转换为PDF之前验证该字节数据,这在Veracode工具中显示为安全问题。我怎样才能保证安全? 下面是我用于将字节数据转换为pdf文件的代码:
byte[] pdfBytes = bytes from WS
if (null != pdfBytes) {
resp.setContentType("application/pdf");
resp.setHeader("Expires", "0");
resp.setHeader("Pragma", "public");
resp.setDateHeader("Expires", 0);
resp.setHeader("Cache-Control", "no-store,no-cache");
resp.setHeader("Content-disposition","inline; filename=" + StringUtils.escapeCarriageReturns(statementCode + acctNumber, false));
***resp.getOutputStream().write(pdfBytes);***
resp.getOutputStream().flush();
}
在上面的代码中,我想在行之前检查(标记为***)我可以添加要检查的内容如果字节包含恶意内容(跨站点链接或脚本)。