1. 首頁
  2. 問答
  3. XSS修復 - 腳本相關HTML標記的不當中和

XSS修復 - 腳本相關HTML標記的不當中和

2014-08-29 37 views
0

我試圖用我的代碼修復一些XSS錯誤。 #getEmailRecord是包含該問題的行。我如何修復這樣的一段代碼?錯誤:網頁中與腳本相關的HTML標籤不當中和(基本XSS)。 Veracode清潔解決方案:coldfusion.runtime.CFPage.HTMLEditFormatXSS修復 - 腳本相關HTML標記的不當中和

tr> 
    <td>&nbsp;</td> 
    <td class="left"><b>To: </b></td> 
    <td class="left">#getEmailRecord.EMAIL_TO#</td></tr>  
<tr><td colspan="4">&nbsp;</td></tr>

謝謝!這是我第一次做這樣的事情,所以任何幫助非常感謝。

來源

2014-08-29 Craig24

+1

你有消毒#getEmailRecord.EMAIL_TO# 我相信這是談在這裏:http://stackoverflow.com/questions/4651110/cleansing-string-input-in-coldfusion-9 – QuinnFTW 2014-08-29 13:40:01

回答

2

Veracode清潔解決方案:coldfusion.runtime.CFPage.HTMLEditFormat  推薦的解決方案告訴您該怎麼做。在#HTMLEditFormat()#中包含您在代碼中使用的包含用戶提供數據的所有變量。

<td class="left">#HTMLEditFormat(getEmailRecord.EMAIL_TO)#</td></tr>

HTMLEditFormat

Description
Replaces special characters in a string with their HTML-escaped equivalents.

添加,如果你是ColdFusion的10或更高版本,你有更多的選擇 - EncodeFor Functions

來源

2014-08-29 13:41:41

+0

謝謝你,米格爾-F。 – Craig24 2014-08-29 13:53:13

相關問題

 相關問題