如何修复网页中与脚本相关的HTML标记(基本XSS)对属性的不适当中性化?
最近,我们在web应用程序上运行了VeraCode。我们得到了CWE80,Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS),在下面的行中
reassignButton.Attributes.Add("ReassignRefId", HttpUtility.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("ReferrelId", HttpUtility.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("onclick", "MultipleReferralButtonClick('" + rfid + "')");
有人有什么建议如何解决这个问题吗?
共有1个答案
我使用microsoft.security.application.encoder.htmlattributteencode()解决了这个问题。请参见下面的代码。
reassignButton.Attributes.Add("ReassignRefId", Microsoft.Security.Application.Encoder.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("ReferrelId", Microsoft.Security.Application.Encoder.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("onclick", "MultipleReferralButtonClick('" + Microsoft.Security.Application.Encoder.HtmlAttributeEncode(rfid) + "')");
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
我们在登录页面中使用web控件适配器。最近,我们在web应用程序上运行了VeraCode。在下面的函数中,我们得到了CWE80,在一个Web页面(基本XSS)中与脚本相关的HTML标记的不适当中性化,在行上 下面是WebControlAdapterExtender类中的函数。 有人有什么建议如何解决这个问题吗?
-
不确定对我的答复我需要申请什么样的验证。
-
我正试图用我的代码修复一些XSS错误。#GetEmailRecord是包含问题的行。我如何修复这样一段代码?错误:网页中与脚本相关的HTML标记的中性化不当(基本XSS)。Veracode清理解决方案:coldfusion.runtime.cfpage.htmleDitFormat 谢了!这是我第一次做这样的事情,所以任何帮助都非常感谢。
-
下面的代码在out.write行(outByte,0,iRead)上给出了veracode缺陷“Web页面中与脚本相关的HTML标记的不适当中性化”;: 正如@sinkmanu所建议的,我尝试将字节转换为字符串。然后应用esapi.encoder().encodeforhtml()。 ... 上面可以解决veracode问题(当2未注释时),但图像似乎已经损坏(不能再是进程了?)。有什么提示我如何
-
任何人都可以帮助我了解出了什么问题。 veracode向我显示以下错误: B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。