Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我在 HTML 文件中有以下代码 -
<div class="dropdown" data-type="all">
Checkmarx 已将此声明确定为潜在的 XSS 漏洞。这是 HTML 文件中的第一行(它将被插入到其他内容中的模板/部分)。
我的问题是 - 为什么它被标记为潜在的 XSS 漏洞?我确实阅读了有关它的 OWASP 页面,并了解我需要转义分配给属性的值,但正如您所看到的,属性的值很好。
如果这是文件中的第一行,则可能是 Checkmarx 没有在代码中标记正确的位置。查看结果的源行号和目标行号(显示在底部的表中),它们应该指向接收输入的位置,以及打印受输入影响的值的位置。
PS,如果您使用IE查看扫描结果,请尝试切换到Chrome或Firefox,也许这些浏览器上的结果会更好。