Veracode-网页中与脚本相关的HTML标记的不正确中和(基本XSS)
我继承了一个遗留应用程序,下面给出了一段代码。
private static void printKeywordCheckboxes(JspWriter out, ArrayList words, int type)
throws IOException {
LogbookKeyword thisWord;
Iterator iterWord = words.iterator();
while (iterWord.hasNext()) {
thisWord = (LogbookKeyword) iterWord.next();
out.println(" <input type=\"checkbox\" name=\"keywordCheckbox" +
type + "\" value=\"" +
thisWord.hashCode() + "\" checked/>" +
thisWord.getWord() + "<br>");
}
}
Veracode在'out.println()'处抛出一个异常“Web页面中与脚本相关的HTML标记(Basic XSS)的不当中和”。
有谁能告诉我这个问题应该如何解决吗?如有任何帮助,将不胜感激。
共有2个答案
还需要注意的是,Veracode在Java承认的某些清理功能已经过Veracode的安全团队的审查和确认。您可以在Veracode帮助中心找到这个列表。
问题是“单词”被传递到您的方法中,但是在它们被使用之前没有对它们进行中和--单词被“按原样”使用,因此可能包含导致伤害的脚本。有一个很好的描述解释了这一点以及为什么这是一个问题:http://www.veracode.com/images/pdf/top5mostprevalue.pdf
当您生成这个HTML时,您将需要中和用户输入--在将其转化为HTML之前,确保它是无害的。我的Java有点生疏,但谷歌给了我们一些建议:
- 在Java转义HTML的推荐方法
- Java转义HTML
请阅读此备忘单上的提示:https://www.owasp.org/index.php/xss_%28cross_site_scripting%29_prevention_cheat_sheet
-
任何人都可以帮助我了解出了什么问题。 veracode向我显示以下错误: B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
Veracode在下面一行中指出了在Web页面(Basic XSS)中与脚本相关的HTML标记的不适当中和问题。 $('#SummaryDiv').html(数据); 我正在通过ajax调用将MVC视图结果绑定到DIV。检查了stackoverflow中的文章,但没有结果。解决这个veracode问题的可能方法是什么。
-
我有以下php代码 最近,我在Veracode中运行代码,我对“echo$Output;” 。 谁能帮我修一下吗?
-
我的项目客户希望所有的应用程序都是Veracode兼容的................................................................................. 提供扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。 报告的一些行有: 什么类型的修复程序可以应用于解决这些交叉脚本缺陷??
-
下面的代码在out.write行(outByte,0,iRead)上给出了veracode缺陷“Web页面中与脚本相关的HTML标记的不适当中性化”;: 正如@sinkmanu所建议的,我尝试将字节转换为字符串。然后应用esapi.encoder().encodeforhtml()。 ... 上面可以解决veracode问题(当2未注释时),但图像似乎已经损坏(不能再是进程了?)。有什么提示我如何