Как удалить Отраженные межсайтовые скрипты в названии URL сайта

Question

У меня есть свой веб-сайт, на котором, когда я набираю http://someurl/login.aspx/'==alert(1)==' заставляет веб-сайт открыть диалоговое окно, ведущее к отраженному XSS.

Когда я пробовал другие сайты, такие как Google или Facebook, оба они приводили к тому, что страница 404 не была найдена.

Как создать такую ​​функциональность на моем веб-сайте, чтобы избежать каких-либо проблем с безопасностью в будущем, связанных с XSS.

Answer 1

закодируйте параметры вашего запроса в закодированную форму javascript. На рынке также доступно множество библиотек для кодирования ваших параметров. Кроме того, убедитесь, что метод JavaScriptEncode должен использоваться поверх ярлыка привязки HTML (<% # :), потому что ярлык работает только для контекстов HTML. </p>

Answer 2

Вот базовый пример для кодирования URL в javascript

var uri = 'https://mozilla.org/?x=шеллы';
var encoded = encodeURI(uri);
console.log(encoded);
// expected output: "https://mozilla.org/?x=%D1%88%D0%B5%D0%BB%D0%BB%D1%8B"

try {
  console.log(decodeURI(encoded));
  // expected output: "https://mozilla.org/?x=шеллы""
} catch(e) { // catches a malformed URI
  console.error(e);

}

Answer 3

Пожалуйста, поделитесь кодом, обрабатывающим параметры запроса (==alert(1)==).Вероятно, вы берете пользовательский ввод без очистки и печатаете его обратно в браузере в контексте JS.Подробнее см. здесь .