Question

Я столкнулся со следующей гипотетической уязвимостью XSS в моем веб-коде:

оригинальный код: <INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>

взломанный код: <INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>

Можно ли смягчить это, просто добавив HTMLEncode к переменной сеанса в поле значения?
Спасибо.

SLaks · Answer 1 · 26 октября 2011

Точно. Вам нужно HTML кодировать весь текст, который вставляется в HTML.

Вам также необходимо Javascript-кодировать любой текст, который вставляется в код Javascript, и вам необходимо URL-кодировать любой текст, который вставляется в URL-адреса.

Смягчение XSS в HTML / VBScript / Classic ASP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Смягчение XSS в HTML / VBScript / Classic ASP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы