避免Veracode CWE-80:jquery htm()方法中与脚本相关的HTML的不适当中性化
我刚刚完成了对ASP.NET mvc web应用程序的第一次Veracode静态扫描,并且Veracode发现了几十个CWE-80:web页面中与脚本相关的HTML标记的不适当中性化缺陷。
几乎所有这些都涉及到jquery html()方法的使用。我们的模式是在javascript中调用$.ajax(),并在success事件中在html元素中显示$.ajax调用的结果,如下所示:
success: function(data) {
$('#elementid').html(data);
}
在大多数情况下,这些$.ajax()调用是对MVC控制器方法的,这些方法返回MVC部分视图、充满html标记的chock等。
我们将如何修改javascript,以便这样的调用不会被Veracode标记为CWE-80缺陷?我们是否仍然可以对控制器方法进行客户端$.ajax调用,这些方法返回html blobs并通过Veracode的集合?
共有1个答案
我安排了一次Veracode咨询,并了解到Veracode只是将所有$.html()调用标记为中等严重程度的缺陷。我们可以采取两种行动:
- 用解释将缺陷标记为“已缓解”,或
- 更改代码以删除对$.html()的所有调用。
我们选择将所有这些缺陷标记为“减轻”。
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
不确定对我的答复我需要申请什么样的验证。
-
我正试图用我的代码修复一些XSS错误。#GetEmailRecord是包含问题的行。我如何修复这样一段代码?错误:网页中与脚本相关的HTML标记的中性化不当(基本XSS)。Veracode清理解决方案:coldfusion.runtime.cfpage.htmleDitFormat 谢了!这是我第一次做这样的事情,所以任何帮助都非常感谢。
-
我的项目客户希望所有的应用程序都是Veracode兼容的................................................................................. 提供扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。 报告的一些行有: 什么类型的修复程序可以应用于解决这些交叉脚本缺陷??
-
最近,我们在web应用程序上运行了VeraCode。我们得到了CWE80,Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS),在下面的行中 有人有什么建议如何解决这个问题吗?
-
Veracode在下面一行中指出了在Web页面(Basic XSS)中与脚本相关的HTML标记的不适当中和问题。 $('#SummaryDiv').html(数据); 我正在通过ajax调用将MVC视图结果绑定到DIV。检查了stackoverflow中的文章,但没有结果。解决这个veracode问题的可能方法是什么。