1

フォームでci_csrf_token非表示フィールドを使用しましたが、スクリプト内のフォームはすべてAcunetix WebVulnerabilityScannerでアラートを受け取ります。

アラートの詳細:

Cookie入力ci_csrf_tokenが"onmouseover= prompt(965267)bad="に設定されました。入力は二重引用符で囲まれたタグ要素内に反映されます。

ビューソース:

<input type = "hidden" name = "ci_csrf_token" value = "\\" onmouseover = prompt(965267)bad = \ "" />

誰かが私がそれを解決するのを手伝ってくれる?

4

1 に答える 1

0

トークンを非表示フィールドに配置する前に、トークンをhtml属性でエンコードする必要があります。クライアント側またはサーバー側のフォームに追加しますか?サーバー側で行う場合は、入力検証を行って、トークンが期待される形式であることを確認することをお勧めします。

于 2012-03-11T07:28:54.187 に答える