asp.net - 如何修复 checkmarx 扫描反射 XSS 特定客户端
问题描述
获取 QueryString_Application 元素的客户端控制数据。该元素的值在客户端代码中使用,没有经过适当的清理或验证,最终集成到 HTML 代码中
代码
if (txtUserPassword.Text == "")
{
if (!string.IsNullOrEmpty(hiddenPassword.Value))
{
txtUserPassword.Text = hiddenPassword.Value;
txtUserPassword.Attributes.Add("value", hiddenPassword.Value);
}
}
解决方案
修复Reflected XSS漏洞需要在渲染txtUserPassword之前输出encode值
if (txtUserPassword.Text == "")
{
if (!string.IsNullOrEmpty(hiddenPassword.Value))
{
txtUserPassword.Text = HttpUtility.HtmlEncode(hiddenPassword.Value);
txtUserPassword.Attributes.Add("value", hiddenPassword.Value);
}
}
推荐阅读
- python - TypeError:将 ICS 放入 SymPy 时对象不可调用
- reactjs - 在 React 中为是/否对话添加键盘快捷键
- html - CSS 过渡/变换 - 缓出但不缓入?
- java - 无法在 Eclipse 工作场所运行程序
- javascript - 无法使用“in”运算符在 true 中搜索“transform”
- django-rest-framework - 如何知道哪个用户被分配给了令牌(JWT Django rest 框架)?
- azure-data-factory - 启动 Runbook 时,Webhook 活动总是超时
- python - 解析雅虎财务页面无法正常工作
- uninstallation - 如何创建uninstall.exe
- eclipse - 无法使用 tekstac eclipse 插件