正如我在评论中所说,我不认为评论与代码本身有关,而是与敏感数据的曝光有关。我已经阅读了PCI-DSS文档,我不记得它说明了应该如何编码(无论是好的做法)。你可以看看所有人 PCI文档 你自己可以。这是一项艰巨的任务,更好的方法是尝试找出顾问的意思。
当你不知道问题出在哪里时,很难解决问题。
需要正确验证content.toString()。使用ESAPI严格验证它。直接写入响应是非常容易受到攻击的,如果数据是从具有请求作为输入的方法输出的话,那么它的两次易受攻击。重大安全问题。