如何处理下面的覆盖扫描问题参数docId接收受污染的数据(taint_path_param)

Question

请找到我的代码片段。

@RequestMapping(value="/abc" , Method=RequetMethod.GET)
    public void xxx(@Requestparam("docId") final String docId , @Requestparam("archieveId") final String archieveId){
//Code will be here
}

如何解决覆盖扫描问题，上面写着"TAINTED_PATH_PARAM“，请帮助！

Answer 1

按照链接中提供的描述

程序无法控制输入的值，因此在使用此数据之前，程序必须对数据进行清理，以避免系统崩溃、损坏、权限升级或拒绝服务。

@Requestparam("docId") final String docId可以被看作是tained_source，它可能在一个或多个地方下沉。

解决方案:使用@NotNull或@NotEmpty或空间字符验证在“接收器”之前对该变量进行验证可能解决此问题。