我们在登录页面中使用Web控制适配器.最近我们在我们的网络应用程序上运行VeraCode.在下面的函数中,我们得到了CWE80,网页中的脚本相关
HTML标签的不正当中和(基本XSS),在线

rev.ErrorMessage = msg;

以下是WebControlAdapterExtender类中的函数.

static public void WriteRegularExpressionValidator(HtmlTextWriter writer, RegularExpressionValidator rev, string className, string controlToValidate, string msg, string expression)
        {
            if (rev != null)
            {
                rev.CssClass = className;
                rev.ControlToValidate = controlToValidate;
                rev.ErrorMessage = msg;
                rev.ValidationExpression = expression;
                rev.RenderControl(writer);
            }
        }

有没有人有任何建议如何解决这个问题？

最佳答案 问题是’msg’被传递给你的函数,但是在它被使用之前没有中和它 – 字符串按原样使用’因此可能包含造成伤害的脚本.有一个很好的描述解释这个以及为什么它是一个问题：
http://www.veracode.com/images/pdf/top5mostprevalent.pdf

我自己没有使用它,但我认为ErrorMessage会在出错时呈现并显示.因为如果’msg’是一个顽皮的代码片段,这将在最终页面上呈现,您将自己和您的用户暴露给安全漏洞.

阅读有关此备忘单的提示：https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

你应该能够使用HtmlEncode来实现这个安全的HttpUtility.HtmlEncode(未编码);

rev.ErrorMessage = System.web.HttpUtility.HtmlEncode(msg);