【问题标题】:XSS remediation - Improper Neutralization of Script-Related HTML TagsXSS 修复 - 与脚本相关的 HTML 标记的不正确中和
【发布时间】:2014-10-23 12:52:10
【问题描述】:

我正在尝试用我的代码修复一些 XSS 错误。 #getEmailRecord 是包含问题的行。如何修复这样的一段代码?错误:网页中与脚本相关的 HTML 标记的不正确中和(基本 XSS)。 Veracode 清洗方案:coldfusion.runtime.CFPage.HTMLEditFormat

tr>
    <td>&nbsp;</td>
    <td class="left"><b>To: </b></td>
    <td class="left">#getEmailRecord.EMAIL_TO#</td></tr>    
<tr><td colspan="4">&nbsp;</td></tr>

谢谢!这是我第一次做这样的事情,所以非常感谢任何帮助。

【问题讨论】:

标签: coldfusion xss veracode


【解决方案1】:

Veracode 清理解决方案:coldfusion.runtime.CFPage.HTMLEditFormat 推荐的解决方案告诉您该怎么做。将包含您在代码中使用的用户提供数据的所有变量包装在 #HTMLEditFormat()# 中。

<td class="left">#HTMLEditFormat(getEmailRecord.EMAIL_TO)#</td></tr>

HTMLEditFormat

说明
将字符串中的特殊字符替换为经过 HTML 转义的等效字符。

如果您使用的是 ColdFusion 10 或更高版本,则添加更多选项 - EncodeFor Functions

【讨论】:

    猜你喜欢
    • 2014-05-13
    • 2020-03-24
    • 1970-01-01
    • 1970-01-01
    • 2014-03-21
    • 2017-12-17
    • 2014-09-30
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多