【问题标题】:Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) CWE ID 80网页中与脚本相关的 HTML 标签的不正确中和(基本 XSS)CWE ID 80
【发布时间】:2020-09-28 12:31:05
【问题描述】:

我使用 VERACODE 工具运行我的应用程序,但遇到了一些问题。

我面临的一个问题是网页中与脚本相关的 HTML 标记的不正确中和(基本 XSS)(CWE ID 80)。
这发生在我的应用程序的许多屏幕中。 在以下特定行中:

NewDivButton.Style["display"] = SearchParameters.NewDivButtonVisibility;

有人对如何解决此问题有任何建议吗?

【问题讨论】:

  • 请在您的问题中添加更多详细信息。考虑包括您正在使用的语言/堆栈的详细信息,以及您已经尝试过的内容。

标签: c# html tags xss


【解决方案1】:

欢迎马尼坎丹。这个问题的最佳答案是你所使用的语言/框架的知识,如果你可以分享的话?

需要注意的一点是,您可以做很多事情来使警告“消失”,但不会让您的应用更加安全。因此,最好了解问题的核心,然后针对您正在使用的语言/框架应用标准修复程序。如有疑问,请咨询安全专家。

一般来说,XSS 是一组问题,您(可能)将用户输入呈现为输出的一部分。 在此示例中,如果我向您发送一个链接,上面写着 yoursite.com?NewDivButtonVisibility=">SendYourPrivateInfoSomewhereBad(); 如果您单击这样的链接,并且站点盲目地将脚本插入页面,它可能会窃取数据。 最好的保护通常是验证输入,只允许已知有效的输入通过。 另一种常见的方法是对正在显示的未知值进行 HTML 编码。但是,根据输出的呈现位置(例如,如果已经在脚本标签中),需要更加小心

这里有更多关于此类问题的一般信息:https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#cross-site-scripting-prevention-cheat-sheet

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-03-24
    • 2014-09-30
    • 2014-05-13
    • 2014-03-21
    • 2017-12-17
    • 2014-10-23
    • 2018-11-24
    • 2019-05-05
    相关资源
    最近更新 更多