-1

我正在尝试保护我的应用程序以防止 CSV 注入。该漏洞适用于用户下载 CSV 导出文件时。

我现在处理它的方式是删除字符:= + - @

https://owasp.org/www-community/attacks/CSV_Injection

问题是我在数据库中有一个包含 URL的“描述”字段。如果我检查字符是否存在并转义字符,它也会破坏 URL。

有没有办法通过正则表达式来处理这个问题?

例子:

Description = "This is a big description......https://url.com......=10+20+cmd|' /C calc'!A0....";

预期行为:

  • 网址应该**不**被转义。
  • excel 命令应该被转义。

    使用的技术:NodeJS、Sequelize、MySQL
    • 4

    1 回答 1

    1

    正如您引用的页面所述(强调我的):

    要修复它,请确保没有单元格以以下任何字符开头:

    换句话说,您不必删除所有这些字符,只要它们位于值的开头即可。现实世界的数据不应该经常发生这种情况。

    于 2021-01-04T14:30:24.480 回答