如何修复我的 node.js 应用程序中的反射 XSS 漏洞
How to fix Reflected XSS vulnerability in my node.js application
我正在 node.js 中使用 express 编写应用程序的后端。 Checkmarx 强调了这个问题:网页生成期间输入的不正确中和
突出显示的代码行:const token = req.params.company2tftoken;
我该怎么做才能解决这个问题?任何文章也可以。
这里简要介绍了 Reflected XSS 是什么以及此漏洞会对您的 Node 应用程序造成什么危害
一般来说,防止XSS的方法之一就是输出encode/escape。根据 req.params.company2tftoken 可能结束的上下文输出 (URL、javascript、HTML),将确定要使用的函数。我假设 URL 所以你可以使用 querystring.escape 方法
尝试使用 URL 编码
const token = querystring.escape(req.params.company2tftoken);
您还可以使用 xss-filters npm 库
const xssFilters = require('xss-filters');
const 令牌 = xssFilters.inHTMLData(req.params.company2tftoken);
我正在 node.js 中使用 express 编写应用程序的后端。 Checkmarx 强调了这个问题:网页生成期间输入的不正确中和
突出显示的代码行:const token = req.params.company2tftoken;
我该怎么做才能解决这个问题?任何文章也可以。
这里简要介绍了 Reflected XSS 是什么以及此漏洞会对您的 Node 应用程序造成什么危害
一般来说,防止XSS的方法之一就是输出encode/escape。根据 req.params.company2tftoken 可能结束的上下文输出 (URL、javascript、HTML),将确定要使用的函数。我假设 URL 所以你可以使用 querystring.escape 方法
尝试使用 URL 编码const token = querystring.escape(req.params.company2tftoken);
您还可以使用 xss-filters npm 库
const xssFilters = require('xss-filters');
const 令牌 = xssFilters.inHTMLData(req.params.company2tftoken);