0
Veracodeスキャンがパスした後。私は自分のjspにXSSの脆弱性のためのCWE ID 80を持つXSSの問題を報告している:空の文字列値のVeracode XSS
<%@ attribute name="styleId"%>
...
document.getElementById("${styleId}").value=""; (XSS here)
私はどこに問題が何であるかを理解することはできませんか?私は空の文字列をエスケープする必要がありますか?またはstyleIdまたはBoth? EASPI.encodeForHTMLを使用する必要がありますか?