У меня есть метод, который возвращает значение cookie, получая cookie от объекта HttpServletRequest с автопроводкой.Я добавляю тот же cookie для вызова другой службы в restClient.Все работает нормально, но когда я запустил сканирование Fortify, это дало проблему с высоким приоритетом, что request.getCookies() может вызвать подделку запросов на стороне сервера.Что делать в этом случае?
Я попытался проверить строку cookie, выполнив это
StringEscapeUtils.escapeXml(StringEscapeUtils.escapeHtml(StringEscapeUtils.escapeJavaScript(cookie.getValue())));
Но это бесполезно.
Код выглядит следующим образом:
Cookie[] cookies = request.getCookies();
if (cookies == null ) {
return EMPTY;
}
for (Cookie cookie : cookies) {
if (HeaderConstant.ASESSIONID.equals(cookie.getName())) {
return StringEscapeUtils.escapeXml(
StringEscapeUtils.escapeHtml(
StringEscapeUtils.escapeJavaScript(
cookie.getValue())));
}
}
Поэтому fortify выделяет эту строку "Cookie[] cookies = request.getCookies();" как подделка запроса на стороне сервера