网页中脚本相关 HTML 标签的不当中和(基本 XSS)CWE ID 80
Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) CWE ID 80
我 运行 我的应用程序使用 VERACODE 工具,但我遇到了一些问题。
我面临的一个问题是网页中与脚本相关的 HTML 标签的中和不当(基本 XSS)(CWE ID 80)。
这发生在我的应用程序的许多屏幕上。
在以下特定行中:
NewDivButton.Style["display"] = SearchParameters.NewDivButtonVisibility;
有人对如何解决这个问题有什么建议吗?
欢迎曼尼坎丹。这个问题的最佳答案是了解您正在使用的 language/framework 是否可以分享?
需要注意的一件事是,您可以做很多事情来使警告“消失”,但不会使您的应用程序更加安全。因此,最好了解问题的核心,然后为您工作的 language/framework 应用标准修复。如有疑问,请咨询安全专家。
一般来说,XSS 是一组问题,您(可能)将用户输入呈现为输出的一部分。
在此示例中,如果我向您发送一个 link,上面写着 yoursite.com?NewDivButtonVisibility=">SendYourPrivateInfoSomewhereBad();
如果您像这样单击 link,而站点盲目地将脚本插入页面,它可能会窃取数据。
最好的保护通常是验证输入,只允许 known-valid 输入通过。
另一种常见的方法是 HTML-encode 显示未知值。但是,根据呈现输出的位置(例如,如果已经在脚本标记内)需要更加小心
这里有更多关于此类问题的一般信息:https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#cross-site-scripting-prevention-cheat-sheet
我 运行 我的应用程序使用 VERACODE 工具,但我遇到了一些问题。
我面临的一个问题是网页中与脚本相关的 HTML 标签的中和不当(基本 XSS)(CWE ID 80)。
这发生在我的应用程序的许多屏幕上。
在以下特定行中:
NewDivButton.Style["display"] = SearchParameters.NewDivButtonVisibility;
有人对如何解决这个问题有什么建议吗?
欢迎曼尼坎丹。这个问题的最佳答案是了解您正在使用的 language/framework 是否可以分享?
需要注意的一件事是,您可以做很多事情来使警告“消失”,但不会使您的应用程序更加安全。因此,最好了解问题的核心,然后为您工作的 language/framework 应用标准修复。如有疑问,请咨询安全专家。
一般来说,XSS 是一组问题,您(可能)将用户输入呈现为输出的一部分。 在此示例中,如果我向您发送一个 link,上面写着 yoursite.com?NewDivButtonVisibility=">SendYourPrivateInfoSomewhereBad(); 如果您像这样单击 link,而站点盲目地将脚本插入页面,它可能会窃取数据。 最好的保护通常是验证输入,只允许 known-valid 输入通过。 另一种常见的方法是 HTML-encode 显示未知值。但是,根据呈现输出的位置(例如,如果已经在脚本标记内)需要更加小心
这里有更多关于此类问题的一般信息:https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#cross-site-scripting-prevention-cheat-sheet