HTTP标头中CRLF序列的不正确中和(CWE ID 113)
任何人都知道如何解决这个veracode问题(CWE 113)
我已经尝试了下面的链接,但它不工作。
修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”)
下面是我遇到问题的函数。
protected void Page_Load(object sender, EventArgs e)
{
_presenter = new VwCSVPresenter(this);
this._presenter.OnViewLoaded();
Response.ContentType = CONTENT_TYPE;
Response.Clear();
if (!string.IsNullOrEmpty(this.FileName))
{
// name the local file the user will download
var localFileName = Request.QueryString[QS_MODULE];
//test1: var localFileName = Regex.Replace(Request.QueryString[QS_MODULE], @"\n|\r|%0d|%0D|%0a|%0A", string.Empty);
//test2: tried the same with string Replace eg:
//var localFileName = Request.QueryString[QS_MODULE].Replace("\r", string.Empty)
//.Replace("%0d", string.Empty)
//.Replace("%0D", string.Empty)
//.Replace("\n", string.Empty)
//.Replace("%0a", string.Empty)
//.Replace("%0A", string.Empty);
if (!string.IsNullOrEmpty(localFileName))
localFileName += CSV_EXTENSION;
Response.AppendHeader(HTTP_HEADER_CONTENT_NAME, string.Format(HTTP_HEADER_CONTENT_VALUE, localFileName));
Response.TransmitFile(this.FileName);
}
Response.End();
}
共有1个答案
我已经通过添加服务器解决了我的问题。UrlEncode()用于本地文件名,Varacode清除了错误。
Response.AppendHeader(HTTP_HEADER_CONTENT_NAME, string.Format(HTTP_HEADER_CONTENT_VALUE, Server.UrlEncode(localFileName)));
-
我在我的项目上运行了Veracode扫描,它在HTTP响应拆分下给了我CWE ID 113问题。我试图用这些建议来解决这个问题,但没有成功。例如 上面的代码来自其中一个文件。并报告显示行错误 有什么建议,如何解决这个问题?
-
R之后 描述-函数调用包含HTTP响应分割漏洞。将未经初始化的用户提供的输入写入HTTP标头允许攻击者操纵浏览器呈现的HTTP响应,从而导致缓存中毒和跨站点脚本攻击。
-
我已经通过了这个链接。[如何修复“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分')” 但它并没有给我解决方案。 我的代码也给出错误“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分') 我的代码片段是: 在veracode扫描中,最后一行出现错误。不知道该怎么办。
-
运行VeraCode后,它在以下代码片段中报告了以下错误“HTTP头中CRLF序列的不正确中和('HTTP响应拆分”): 报告指向包含以下代码的行:Response。饼干。Set(languageCookie);可以使用什么修复来消除该错误? 谢谢的
-
运行veracode扫描后,我得到了CWE 113错误。我已经找到了替换cookie值的解决方案,但问题仍然没有解决。 修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”) 我该如何解决这个问题?
-
此代码: 尽管我用s=s.replace删除了s中任何不需要的字符串,但仍然给了我CWE ID 93。在示例中,我发现了一个web,s=s.replace应该是解决方案,但我仍然有这个缺陷?我错过了什么?任何提示都将不胜感激!