Veracode Scan:jQuery html方法显示Web页面中与脚本相关的html标记中和不当
Veracode在下面一行中指出了在Web页面(Basic XSS)中与脚本相关的HTML标记的不适当中和问题。
$('#SummaryDiv').html(数据);
$.ajax({
url: 'Target_URL',
type: 'GET',
datatype: "json",
traditional: true,
cache: false
}).done(function (data) {
$('#SummaryDiv').html(data);
我正在通过ajax调用将MVC视图结果绑定到DIV。检查了stackoverflow中的文章,但没有结果。解决这个veracode问题的可能方法是什么。
共有2个答案
所以您要使用json并将其直接放入DIV中?我想这意味着您不希望响应包含任何要呈现的HTML,而是希望JSON按原样显示。因此解决方法是使用jQuery的.text()而不是.html()
编辑:如果您需要将其呈现为HTML,您应该首先使用DOMPurify对其进行清理。
我遵循了下面的文章,并通过对从MVC ViewResult收到的html进行编码来修复这个问题。
基于DOM的XSS预防备查表https://github.com/owasp/cheatsheetseries/blob/master/cheatsheets/dom_based_xss_prevention_cheat_sheet.md
OWASP企业安全API(ESAPI)https://github.com/ESAPI/owasp-esapi-js/blob/28b2767731e672c620b86701a9f98f235951392b/readme.md
用于编码不受信任内容的ESAPI方法:$ESAPI.Encoder().EncodeForHTML(content)
-
任何人都可以帮助我了解出了什么问题。 veracode向我显示以下错误: B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。
-
我的项目客户希望所有的应用程序都是Veracode兼容的................................................................................. 提供扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。 报告的一些行有: 什么类型的修复程序可以应用于解决这些交叉脚本缺陷??
-
不确定对我的答复我需要申请什么样的验证。
-
我继承了一个遗留应用程序,下面给出了一段代码。 Veracode在'out.println()'处抛出一个异常“Web页面中与脚本相关的HTML标记(Basic XSS)的不当中和”。 有谁能告诉我这个问题应该如何解决吗?如有任何帮助,将不胜感激。
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
下面的代码在out.write行(outByte,0,iRead)上给出了veracode缺陷“Web页面中与脚本相关的HTML标记的不适当中性化”;: 正如@sinkmanu所建议的,我尝试将字节转换为字符串。然后应用esapi.encoder().encodeforhtml()。 ... 上面可以解决veracode问题(当2未注释时),但图像似乎已经损坏(不能再是进程了?)。有什么提示我如何