0

モバイル アプリケーションのテスト中に以下のエラーが発生しました。この XSS エラーを解決するにはどうすればよいですか?

q リクエスト パラメータの値は、タグ間のプレーン テキストとして HTML ドキュメントにコピーされます。ペイロード2906f<script>alert(1)</script>b08ffac3085は q パラメータで送信されました。この入力は、アプリケーションの応答で変更されずにエコーされました。

この概念実証攻撃は、任意の JavaScript をアプリケーションの応答に挿入できることを示しています。

4

1 に答える 1

0

HTMLドキュメントに配置する前に、HTML用にエンコードします。

JavaScriptの場合(これはあなたが言及した唯一の言語であるため)、それは一般的createTextNodeにの代わりに使用することを意味しinnerHTMLます。

于 2012-07-19T10:41:59.843 に答える