1

我在表单中使用了 ci_csrf_token 隐藏字段。但我脚本中的任何表单都会通过 Acunetix Web Vulnerability Scanner 获得警报。

警报详情:

Cookie 输入 ci_csrf_token 设置为“ onmouseover=prompt(965267) bad=" 输入反映在双引号之间的标记元素内。

查看源代码:

<input type="hidden" name="ci_csrf_token" value="\\" onmouseover=prompt(965267) bad=\"" />

谁能帮我解决它?

4

1 回答 1

0

在将令牌放入隐藏字段之前,您需要对令牌进行 html 属性编码。您是将其添加到客户端还是服务器端的表单中?如果您在服务器端执行此操作,您可能需要进行输入验证以确保令牌采用预期的格式。

于 2012-03-11T07:28:54.187 回答