coldfusion - XSS 补救 - 与脚本相关的 HTML 标签的不正确中和

Question

我正在尝试用我的代码修复一些 XSS 错误。#getEmailRecord 是包含问题的行。如何修复这样的一段代码？错误：网页中与脚本相关的 HTML 标记的不正确中和（基本 XSS）。Veracode 清洗方案：coldfusion.runtime.CFPage.HTMLEditFormat

tr>
    <td>&nbsp;</td>
    <td class="left"><b>To: </b></td>
    <td class="left">#getEmailRecord.EMAIL_TO#</td></tr>    
<tr><td colspan="4">&nbsp;</td></tr>

谢谢！这是我第一次做这样的事情，所以非常感谢任何帮助。

score 2 · Accepted Answer

Veracode 清理解决方案：coldfusion.runtime.CFPage.HTMLEditFormat 推荐的解决方案告诉您该怎么做。将包含您在代码中使用的用户提供的数据的任何变量包装在#HTMLEditFormat()#.

<td class="left">#HTMLEditFormat(getEmailRecord.EMAIL_TO)#</td></tr>

HTML编辑格式

说明
将字符串中的特殊字符替换为其 HTML 转义的等效字符。

如果您使用的是 ColdFusion 10 或更高版本，则添加更多选项 - EncodeFor Functions

coldfusion - XSS 补救 - 与脚本相关的 HTML 标签的不正确中和

1 回答 1

Related

Reference