假设我的HTTP端点产生了application/xml。我写类似
protected void output(Writer writer, String xmlPayload) throws IOException {
writer.write(xmlPayload);
}
那只是一个例子,实际代码更加复杂。但是,在这里我从Veracode中获得了缺陷:
此调用包含跨站点脚本(XSS)缺陷。应用程序 使用不受信任的输入填充HTTP响应,从而允许攻击者 嵌入恶意内容,例如Javascript代码, 在受害者浏览器的上下文中执行。
但是我是自己从某个POGO制作的xmlPayload。而且,我确实需要编写一个不转义的XML字符串。
我无法逃脱xmlPayload,我会得到<version>3</version>的愚蠢。
如何在不转义整个字符串的情况下修复此veracode缺陷?