ZAP HTML報告聲明XSS攻擊: 參數:用戶名 攻擊:alert(1);ZAP XSS攻擊嘗試修復輸入驗證但不工作?
如何解決我的HTML問題,以便ZAP不會說我的用戶名裏有XSS攻擊?我知道它與輸入驗證/白名單有關嗎?
我試圖按照此:https://tododev.wordpress.com/2013/12/27/detecting-and-fixing-xss-using-owasp-tools/
,但它留給我更糊塗了,我就是一個初學者。
您應該使用OWASP Java Encoder而不是ESAPI。如何在您的代碼中使用OWASP Java編碼器的示例:
<%@ page contentType="text/html;charset=UTF-8" %>
<%@ page import="org.owasp.encoder.Encoder" %>
<%-- HTML context --%>
<body><b><%= Encode.forHtml(textValue) %>" /></b></body>
<%-- HTML Attribute context --%>
<input type="text" name="address"
value="<%= Encode.forHtmlAttribute(addressData) %>" />
<%-- HTML Content context --%>
<textarea name="text">
<%= Encode.forHtmlContent(textAreaContent>" />
<%-- Javascript Block context --%>
<script type="text/javascript"> var msg = "<%= Encode.
forJavaScriptBlock(message) %>"; alert(msg); </script>
<%-- Javascript Variable context --%>
<button onclick="
alert('<%= Encode.forJavaScriptAttribute(alertMsg) %>');
">click me</button>
希望這有助於您!