1

PCI ガイドラインに準拠する必要があるサイトの世話をしています。しばらく前に多くの作業を行った後、最終的に PCI セキュリティ チェックに合格しました。最近また失敗し始めました。これは、セキュリティ チェックに新しいテストが追加されたためだと思われます。

現在、チェックが不平を言っているのは、サイトへのコード インジェクションの可能性です。これは、その内容の 1 つの例です。

http://www.monorep.co.uk/vauxhall/new-vans/?DealergroupId=<aavxhv%20>

Firebug を使用してソース コードを調べると、私のコードに対してこれが行われていることがわかります。

<input name="DealergroupId" type="hidden" value="<aavxhv >">

Ok。それ自体は害はありませんが、彼らが何をしようとしているのかがわかります。

彼らが提供する他の非常に類似した例がありますが、それらはすべて単独で同じ種類の線です.

この種のものから実際にどのように保護できますか?そして、それは有害ですか?

前もって感謝します。

4

1 に答える 1

2

HTMLページにレンダリングされたすべてのテキストをエンコードする必要があります

HttpContext.Current.Server.HtmlEncode()

データベース、ユーザー入力、またはその他のソースから取得されたすべてのレンダリングされたテキスト。

たとえば、コードは次のようになります

<input name="DealergroupId" type="hidden" value="<%=Server.HtmlEncode(cParametrFromUrl)%>">
于 2012-09-07T10:21:09.820 に答える