Как мне исправить cwe-80 xss в jsp?

Question

<% 
String ans = ""; 
ans = SpecialCharacter.getEscapeString((String)request.getAttribute("ans"));
%>

<input type="text" class="txt long" name="ans" id="ans" maxlength="48" value="${ans}"/>

У меня есть код, подобный описанному выше, и я уже использую литералы шаблона для замены значения, но сканирование veracode все еще показывает мне, что оно уязвимо для xss. Как мне исправить в таком случае?

Answer 1

Использовать OWASP Java Encoder Использовать <input type="text" class="txt long" name="ans" id="ans" maxlength="48" value="<%= Encode.forHtmlAttribute(ans)%>" />