Checkmarx помечает метод репозитория JPA с аннотацией @Query как возможную хранимую атаку XSS ⇐ JAVA

[Anonymous]

У меня есть репозиторий jpa с методом, похожим на:

Код: Выделить всё

@Query("select distinct concat(p.firstName, ' ', p.lastName) as name from PersonEntity p")
public String[] findDistinctNames();

Я использую флажок в своем конвейере, и он помечает использование этого (и любых подобных непараметризованных методов с @Query) как подвергающееся риску сохраненного XSS. атака. Например, в моем классе обслуживания используется такой метод:

Код: Выделить всё

// MyService.java
public String[] findDistinctNames() {
return personRepository.findDistinctNames();
}

Приведет к тому, что метод репозитория будет помечен галочкой.
Я пытался экранировать возвращаемые значения с помощью StringEscapeUtils::escapeHtml4, но checkmarx помечает сам метод, поэтому никакая очистка сообщений не предотвращает его пометку.
Я читал, что непараметризованные запросы представляют опасность, но в данном случае я не уверен, что я могу сделать. Я не могу пропустить часть @Query из-за необходимости процедуры concat.
Итак, есть ли другой способ сделать это или это просто ложное срабатывание от checkmarx?

Подробнее здесь: https://stackoverflow.com/questions/791 ... sible-stor