テストチームがパラメータTARGET=-SM-http%3a%2f%2fgrow%2egoogle%2ecom%2f%22%20%73%54%79%4c%のように攻撃している隠れた変数を含むFccファイルがあります65%3d%58%3a%65%58%70%52%65%53%73%49%6f%4e%28%61%6c%65%72%74%28%34%37%36%38% 33%29%29%20%22 は、以下のように動作するようにターゲット変数を作成しています
INPUT type ='hidden' name ='target' value ='' STYLE = xss:expression(alert('attack alert'))"'これにより、finteループでアラートメッセージが表示されます
私のフォームには、非表示のname = "target" value = "$$ target $$" name = "smauthreason" value = "$$smauthreason$$"としていくつかのフォーム値が含まれています
これらのフォーム値はフォーム要素に割り当てられます
だからどうすればxss攻撃の問題を回避できますか