アプリ スキャンでのクロス サイト スクリプティングで高評価を得ている Domino サイトがあります。
appscan を実行するためのライセンスがありません。別のグループがそれを行う必要があります(ええ、大企業:))。しかし、IE ブラウザーも次のような URL で文句を言うことに気付きました。
http://myserver.com/cld/cldg.nsf/vwTOC?OpenView&Start=28 (つまり、このような URL を使用したクロスサイト スクリプティングについて警告します)。
スクリプト タグを挿入しようとすると、notes.net フォーラム サイトに IE でこのようなエラーが表示されないことに気付きました。ページがレンダリングされる前に URL をスクラブする必要があると思いますか? これは notes.net フォーラムでどのように行われていますか? サーバーレベルまたはデータベースレベルで行われますか?
私はこのスレッドを見つけました
XSP/Domino クロスサイト スクリプティングの脆弱性を回避するには?
Steve は彼のブログと Web ルールについて言及していますが、ブログでは 8.5.4 では必要ないと述べています。以上。私はそれを正しく理解していますか?もしそうなら、私たちは 8.5.4 です。URL をスクラブするためにまだ何かする必要がありますか?
編集: 8.5.3 です。8.5.4 ではありません。私は間違っていました。管理者が Steves の提案を試します