我在 Checkmarx 扫描中收到警报,说 saveAll() 调用中的对象绑定不安全。 checkmarx 中的确切字词是 -
The columnconfigSet at src\main\java\com\ge\digital\oa\moa\controller\ConfigController.java in line 45 may unintentionally allow setting the value of saveAll in setColumnsConfig,in the object src\main\java\com\ge\digital\oa\moa\service\ConfigService.java at line 170.
任何想法如何重写代码,以便 checkmarx 停止抱怨。
我的代码:
@PutMapping("/columns")
@ResponseStatus(OK)
public void setColumnsConfig(@RequestBody(required=true) ColumnconfigSetDto columnconfigSet) {
service.setColumnsConfig(columnconfigSet);
}
public void setColumnsConfig(ColumnconfigSetDto columnconfigSet) {
String userId = columnconfigSet.getUserId();
String viewName = columnconfigSet.getViewName();
List<Columnconfig> configs = new ArrayList<>();
for (ColumnconfigDto colConfig : columnconfigSet.getcolumns()) {
// build a db config row only for the visibility property for now
ColumnconfigId confId = new ColumnconfigId();
confId.setUserId(userId);
confId.setViewName(viewName);
confId.setKey(colConfig.getKey());
confId.setProperty("visible");
Columnconfig conf = new Columnconfig();
conf.setColumnconfigId(confId);
conf.setvalue(colConfig.getIsVisible() ? "true" : "false" );
configs.add(conf);
}
if (!configs.isEmpty()) {
configRepo.saveAll(configs);
}
}
以下是我在此代码中使用的 DTO 对象:
@Getter
@Setter
public class ColumnconfigSetDto {
@JsonProperty("userId")
private String userId;
@JsonProperty("viewName")
private String viewName;
@JsonProperty("columns")
private List<ColumnconfigDto> columns;
}
以下是我在此使用的 DTO 代码
@Getter
@Setter
public class ColumnconfigDto {
@JsonProperty("key")
private String key;
@JsonProperty("label")
private String label;
@JsonProperty("isVisible")
private Boolean isVisible;
@JsonProperty("position")
private Integer position;
@JsonProperty("isSortable")
private Boolean isSortable;
@JsonProperty("isHideable")
private Boolean isHideable;
}