在对我们的应用程序运行 OWASP ZAP 扫描工具后,当该工具使用此字符串进行攻击时,我们看到了许多 XSS 漏洞:
" onMouseOver="alert(1);
或者
;alert(1)
所以这样的字符串会出现在服务器响应中。虽然它在浏览器中没有做任何事情。也许它试图在 Html 标签中插入额外的属性,但是如何解决这个问题呢?
在对我们的应用程序运行 OWASP ZAP 扫描工具后,当该工具使用此字符串进行攻击时,我们看到了许多 XSS 漏洞:
" onMouseOver="alert(1);
或者
;alert(1)
所以这样的字符串会出现在服务器响应中。虽然它在浏览器中没有做任何事情。也许它试图在 Html 标签中插入额外的属性,但是如何解决这个问题呢?
如果您可以发布围绕注入攻击的 html,那么这可能就足够了。如果您在 ZAP 中选择警报,则攻击将在“响应”选项卡中突出显示。请注意,我们刚刚发布了更新的活动扫描规则,它修复了反射 XSS 扫描规则中的误报,因此请确保更新规则然后再次扫描。
阅读跨站点脚本漏洞对您的应用程序的影响。简短的回答是进行输入验证或输出编码,这样您就不会将恶意输入视为实际脚本。
长答案可以在以下位置找到:https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS)
解决方案备忘单在这里:https ://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
希望这可以帮助