Java EntityManager.find(id)是否会执行恶意攻击?
我的rest服务从UI获取“ids”参数。我的控制器如下Java EntityManager.find(id)是否会执行恶意攻击?,java,rest,xss,sql-injection,checkmarx,Java,Rest,Xss,Sql Injection,Checkmarx,我的rest服务从UI获取“ids”参数。我的控制器如下 @RestOutMessage deleteEntry(List<String> ids) { ....... } @RestOutMessage 删除条目(列表ID){ ....... } 我在我的应用程序上运行了Checkmarx,它突出显示了“ID”,并报告说它容易受到XSS和其他HTML注入攻击 在内部使用我的代码entityManager.delete(id)。 我不确定这是否安全,或者我如何解释这是否安
@RestOutMessage
deleteEntry(List<String> ids) {
.......
}
@RestOutMessage
删除条目(列表ID){
.......
}
entityManager.delete(id)我不确定这是否安全,或者我如何解释这是否安全。我不熟悉checkmarx,但它是你问题的核心。我真的不明白这行代码如何与XSS或HTML注入相关。您可能只需要担心SQL注入,在这方面您是安全的-Hibernate使用PreparedStatement的底层。XSS和HTML注入发生在面向客户端的模型上,而不是服务器端的模型上。谢谢,但我从UI获得“Id”。如果您有任何类型的事务来自UI,那么是的,攻击者可以从客户端XSS上小心翼翼地攻击你的数据库。尝试添加更多代码,这样我们就可以看到整个可疑的攻击向量。此外,对Checkmarx警告的完整描述可能会有所帮助。