0
我在我的網頁代碼面臨以下假設的XSS漏洞:XSS減緩HTML/VBScript中/經典的ASP
原代碼:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
遭到黑客攻擊代碼:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
我能減輕這隻需將HTMLEncode
添加到值字段中的會話變量?
謝謝。
他們應該在使用HTMLEncode之前檢查該值是否爲空。 –
HTMLEncode方法的放置不重要,對嗎?換句話說,帳號可以在頁面上更高地編碼,而不是特別在輸入標籤內? – Raven13
無論您在哪裏創建字符串,字符串都是字符串。只要確保你知道什麼是編碼在哪裏。 – SLaks