我最近在尝试使用fortify解决XSS问题时遇到了麻烦。下面是我的代码示例,该代码正在运行,但强化扫描显示XSS漏洞。
public static void copiedStream(InputStream isIn, OutputStream isOut, boolean closeStream) throws IOException {
byte[] data = new byte[BUFFER];
int bytesRead = -1;
while ((bytesRead = isIn.read(data)) > -1) {
isOut.write(data, 0, bytesRead);
}
if (closeStream) {
isIn.close();
isOut.close();
}
}
这是非常简单的代码。 isOut.write(data, 0, byteeRead)是XSS问题发生的原因。我花了无数小时来解决这个问题,除非是我的最后选择,否则我通常不求助于SO。我尝试在这里的论坛中进行搜索,但仍然找不到帮助潜在解决方案的帮助。我从多个角度解决了这个问题。
此输出流最终被写入response.getOutputStream的{{1}}中。快速说明outFile.toByteArray()是分配给该参数的InputStream isIn。
我读过某个地方可以使用OWASP?问题是,如何?