Java 复选框将API路由标记为;电位反射XSS“;
代码嗅探器Checkmarx将此API路由检测为“反射的XSS所有客户端” getById实现使用JPARepositoryJava 复选框将API路由标记为;电位反射XSS“;,java,spring,api,jpa,xss,Java,Spring,Api,Jpa,Xss,代码嗅探器Checkmarx将此API路由检测为“反射的XSS所有客户端” getById实现使用JPARepository // Language service @Override public Language getById(String id) { try { return repo.findById(id).orElse(repo.findById("en").get()); } catch (Exc
// Language service
@Override
public Language getById(String id) {
try {
return repo.findById(id).orElse(repo.findById("en").get());
} catch (Exception e) {
return null;
}
}
考虑到在存储库中使用findById()只会在输入无效(或者我错了?)时检索不到任何内容,并且用户不会收到任何“已损坏”的内容,我不理解为什么会将其标记为这样
我是否应该简单地忽略这一点并将其视为一个建议?
< p>我完全忽略了来自CurrMax的警告。 它似乎是一个非常简化的静态分析器,通常不理解它所处的上下文。因此,这个工具给我们带来了很多错误警报 这个工具标记为“在代码中清除密码”,而实际上它是一个带有pswd:client password
最后,需要对项目进行判断,以决定项目是否相关
// Language service
@Override
public Language getById(String id) {
try {
return repo.findById(id).orElse(repo.findById("en").get());
} catch (Exception e) {
return null;
}
}