0

ZAP HTML 报告指出 XSS 攻击:参数:用户名攻击:alert(1);

如何修复我的 HTML,以便 ZAP 不会说我的用户名内容受到 XSS 攻击?我知道这与输入验证/白名单有关吗?

我试图遵循这个:https ://tododev.wordpress.com/2013/12/27/detecting-and-fixing-xss-using-owasp-tools/

但这让我更加困惑,而且我是初学者。

4

1 回答 1

1

您应该使用OWASP Java 编码器而不是 ESAPI。如何在代码中使用 OWASP Java 编码器的示例:

<%@ page contentType="text/html;charset=UTF-8" %>
<%@ page import="org.owasp.encoder.Encoder" %>
<%-- HTML context --%>
<body><b><%= Encode.forHtml(textValue) %>" /></b></body>
<%-- HTML Attribute context --%>
<input type="text" name="address"
value="<%= Encode.forHtmlAttribute(addressData) %>" />
<%-- HTML Content context --%>
<textarea name="text">
<%= Encode.forHtmlContent(textAreaContent>" />
<%-- Javascript Block context --%>
<script type="text/javascript"> var msg = "<%= Encode.
forJavaScriptBlock(message) %>"; alert(msg); </script>
<%-- Javascript Variable context --%>
<button onclick="
alert('<%= Encode.forJavaScriptAttribute(alertMsg) %>');
">click me</button>

希望这可以帮助!

于 2017-01-17T08:16:45.547 回答