JavaScript:Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS)
const xhr = new XMLHttpRequest();
xhr.open("GET", url, true);
xhr.responseType = "arraybuffer";
xhr.onreadystatechange = () => {
if (xhr.readyState === 4 && xhr.status === 200) {
var windowUrl = window.URL || window.webkitURL;
var blobUrl = windowUrl.createObjectURL(new Blob([xhr.response]));
const doc = document.createElement('a');
document.body.appendChild(doc);
doc.href = blobUrl;
if (filename) {
doc.download = filename;
}
doc.click();
windowUrl.revokeObjectURL(url);
}
}
xhr.send();
document.body.appendChild(doc);
不确定对我的答复我需要申请什么样的验证。
共有1个答案
这是一个相当复杂的主题,第一道防线应该是在使用这样的工具将HTML添加到页面之前对其进行消毒。
https://github.com/jitbit/htmlsanitizer
维基百科对不同的预防技术有很大的总结。
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
我正试图用我的代码修复一些XSS错误。#GetEmailRecord是包含问题的行。我如何修复这样一段代码?错误:网页中与脚本相关的HTML标记的中性化不当(基本XSS)。Veracode清理解决方案:coldfusion.runtime.cfpage.htmleDitFormat 谢了!这是我第一次做这样的事情,所以任何帮助都非常感谢。
-
最近,我们在web应用程序上运行了VeraCode。我们得到了CWE80,Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS),在下面的行中 有人有什么建议如何解决这个问题吗?
-
任何人都可以帮助我了解出了什么问题。 veracode向我显示以下错误: B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。
-
下面的代码在out.write行(outByte,0,iRead)上给出了veracode缺陷“Web页面中与脚本相关的HTML标记的不适当中性化”;: 正如@sinkmanu所建议的,我尝试将字节转换为字符串。然后应用esapi.encoder().encodeforhtml()。 ... 上面可以解决veracode问题(当2未注释时),但图像似乎已经损坏(不能再是进程了?)。有什么提示我如何
-
我们在登录页面中使用web控件适配器。最近,我们在web应用程序上运行了VeraCode。在下面的函数中,我们得到了CWE80,在一个Web页面(基本XSS)中与脚本相关的HTML标记的不适当中性化,在行上 下面是WebControlAdapterExtender类中的函数。 有人有什么建议如何解决这个问题吗?