У меня есть контроллер REST, у которого есть метод deleteStudent
, который принимает два параметра studentId
, который равен Long
, и section
, который равен String
.
@RequestMapping(value="/rest/deleteStudent/studentId/{studentId}/section/{section}", method = RequestMethod.DELETE)
public Student deleteStudent(@PathVariable Long studentId, @PathVariable String section){
return studentService.deleteStudent(studentId ,section);
}
Для приведенного выше кода checkmarx жалуется Это значение параметра проходит через код и в конечном итоге используется для изменения содержимого базы данных. Приложение не требует повторной аутентификации пользователя для запроса. Это может привести к подделке межсайтовых запросов (XSRF).
Я пробовал Htmlutils.htmlescape
(из весенней веб-утилиты) в разделе, но не повезло.
Как избавиться от этой проблемы с галочкой?
Еще одна вещь, как возможна атака XSRF и SQL-инъекцией, если поле имеет тип Long?