0

Checkmarx 扫描抱怨某些“元素的值在没有经过适当清理或验证的情况下流经代码,并最终在传递或选择下拉值的地方以方法 OnItemDataBound 显示给用户”。示例:

strText = dropdownlist.SelectedValue;

或者

return dropdownlist.SelectedValue;

如何清理这些值?HTMLencode 和 decode 能否避免此类漏洞结果?

请注意,这是针对点网应用程序的。

4

1 回答 1

0

假设这是指 XSS 漏洞发现,生成的字符串就像任何其他字符串一样,并且可以由攻击者控制。
所以是的,您应该在嵌入 HTML 之前对该字符串调用 HTMLEncode(或执行一些其他类型的清理,对上下文进行 deoending,例如 AntiXSS) - 就像您使用任何其他外部数据一样。

于 2016-09-27T12:52:46.090 回答