我们在登录页面中使用Web控制适配器.最近我们在我们的网络应用程序上运行VeraCode.在下面的函数中,我们得到了CWE80,网页中的脚本相关
HTML标签的不正当中和(基本XSS),在线
rev.ErrorMessage = msg;
以下是WebControlAdapterExtender类中的函数.
static public void WriteRegularExpressionValidator(HtmlTextWriter writer, RegularExpressionValidator rev, string className, string controlToValidate, string msg, string expression)
{
if (rev != null)
{
rev.CssClass = className;
rev.ControlToValidate = controlToValidate;
rev.ErrorMessage = msg;
rev.ValidationExpression = expression;
rev.RenderControl(writer);
}
}
有没有人有任何建议如何解决这个问题?
最佳答案 问题是’msg’被传递给你的函数,但是在它被使用之前没有中和它 – 字符串按原样使用’因此可能包含造成伤害的脚本.有一个很好的描述解释这个以及为什么它是一个问题:
http://www.veracode.com/images/pdf/top5mostprevalent.pdf
我自己没有使用它,但我认为ErrorMessage会在出错时呈现并显示.因为如果’msg’是一个顽皮的代码片段,这将在最终页面上呈现,您将自己和您的用户暴露给安全漏洞.
阅读有关此备忘单的提示:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
你应该能够使用HtmlEncode来实现这个安全的HttpUtility.HtmlEncode(未编码);
rev.ErrorMessage = System.web.HttpUtility.HtmlEncode(msg);