String id = request.getParameter("id") != null ? request.getParameter("id") : "0";
aaaa doc = bbb.getdetailsById(id);
byte b[] = doc.getUploaded();
try {
response.setContentType("APPLICATION/OCTET-STREAM");
String disHeader = "Attachment;Filename=" + doc.getName();
response.setHeader("Content-Disposition", disHeader);
servletoutputstream = response.getOutputStream();
servletoutputstream.write(b, 0, b.length);
}
我有这段代码。代码审计工具显示 servletoutputstream.write(b, 0, b.length); xss 容易受到攻击吗?但我不知道它是如何报告同样的情况的。以及如何修复它。我正在使用 ESAPI 来验证输入并转义其他 xss 漏洞报告问题中的输出。我也需要对这些做同样的事情吗?请给出建议或解决方案。经过一些研究工作后,我发现字节 b[] 需要使用 ESAPI 对 htmlESCAPE 或 xmlESCAPE 进行转义。它会解决问题吗?