Когда я провожу сканирование своих JSP-страниц моего проекта, Fortify жалуется на дополнительные проблемы XSS, чтобы исправить страницы. Он жалуется в большинстве мест, таких как: <c:out>
заявления. Я попытался использовать функцию escapeXml из <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
с помощью ${fn:escapeXml(path)}
, но это печатает весь текст как есть.
На самом деле у меня есть код в моем JSP, как показано ниже. Я хочу исправить XSS-уязвимость для тегов <C:out value="${cdt}"/>
.
<c:set var="checked">
checked="checked"
</c:set>
<c:set var="cdt" value="" />
<c:set var="dbt" value="" />
<c:choose>
<c:when test="${casesForm.institutionRepresents == 'C'}">
<c:set var="cdt" value="${checked}"/>
</c:when>
<c:when test="${casesForm.institutionRepresents == 'D'}">
<c:set var="dbt" value="${checked}"/>
</c:when>
</c:choose>
<div class="field LINK_show">
<label><bean:message key="label.institutions" /></label>
<div style="display:inline;padding-left:10px">
<input type="radio" name="institutionRepresents" value="A" <c:out value="${cdt}" />><bean:message key="label.credit" />
<input type="radio" name="institutionRepresents" value="I" <c:out value="${dbt}" />><bean:message key="label.debit" />
</div>
</div>
Есть ли способ исправить XSS-уязвимость в тегах <c:out>
?