如何修复网页(基本XSS)中与脚本相关的HTML标记的错误中性化?
我们在登录页面中使用web控件适配器。最近,我们在web应用程序上运行了VeraCode。在下面的函数中,我们得到了CWE80,在一个Web页面(基本XSS)中与脚本相关的HTML标记的不适当中性化,在行上
rev.ErrorMessage = msg;
下面是WebControlAdapterExtender类中的函数。
static public void WriteRegularExpressionValidator(HtmlTextWriter writer, RegularExpressionValidator rev, string className, string controlToValidate, string msg, string expression)
{
if (rev != null)
{
rev.CssClass = className;
rev.ControlToValidate = controlToValidate;
rev.ErrorMessage = msg;
rev.ValidationExpression = expression;
rev.RenderControl(writer);
}
}
有人有什么建议如何解决这个问题吗?
共有1个答案
问题是“msg”被传递到函数中,但在它被使用之前并没有消除它--字符串get使用的是“原样”,所以可能包含造成伤害的脚本。有一个很好的描述解释了这一点以及为什么它是一个问题:http://www.veracode.com/images/pdf/top5mostpreveraly.pdf
我自己没有使用过这个,但我认为ErrorMessage会在发生错误时呈现和显示。因为这将在最后一页上呈现,如果“msg”是一个顽皮的代码片段,那么您将使您自己和您的用户暴露在安全漏洞中。
请阅读以下备忘单上的提示:https://www.owasp.org/index.php/xss_%28cross_site_scripting%29_prevention_cheat_sheet
您应该能够使用HtmlEncode来使这个安全的httputility.HtmlEncode(未编码);
rev.ErrorMessage = System.web.HttpUtility.HtmlEncode(msg);
-
最近,我们在web应用程序上运行了VeraCode。我们得到了CWE80,Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS),在下面的行中 有人有什么建议如何解决这个问题吗?
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
下面的代码在out.write行(outByte,0,iRead)上给出了veracode缺陷“Web页面中与脚本相关的HTML标记的不适当中性化”;: 正如@sinkmanu所建议的,我尝试将字节转换为字符串。然后应用esapi.encoder().encodeforhtml()。 ... 上面可以解决veracode问题(当2未注释时),但图像似乎已经损坏(不能再是进程了?)。有什么提示我如何
-
我继承了一个遗留应用程序,下面给出了一段代码。 Veracode在'out.println()'处抛出一个异常“Web页面中与脚本相关的HTML标记(Basic XSS)的不当中和”。 有谁能告诉我这个问题应该如何解决吗?如有任何帮助,将不胜感激。
-
不确定对我的答复我需要申请什么样的验证。
-
任何人都可以帮助我了解出了什么问题。 veracode向我显示以下错误: B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。