Мои службы отдыха берут параметр «ids» из пользовательского интерфейса. Мой контроллер, как показано ниже
@RestOutMessage
deleteEntry(List<String> ids) {
.......
}
Я запустил Checkmarx в своем приложении, и оно выделило «id» и сообщило, что оно уязвимо для XSS и других атак с внедрением HTML.
Внутри мой код использовал entityManager.delete(id)
. Я не уверен, безопасно ли это или как я могу объяснить, что это безопасно.