0
我們使用的掃描儀工具報告了安全問題。它在ServiceStack.Metadata.IndexOperationsControl.Render()
內監測GET /metadata
的響應並報告沒有驗證或編碼的響應。具體來說,抱怨網址。這裏是它所關心的片段:ServiceStack元數據頁面上的鏈接是否應該被編碼?
<h3>Plugin Links:</h3><ul><li><a href="https://mysitedomain/swagger-ui/">Swagger UI</a></li></ul> </div> <p> </p>
我可能會泛化太多。它看起來像問題是,最終,ServiceStack調用System.Web.UI.HtmlTextWriter.Write()
,而不是System.Web.UI.HtmlTextWriter.WriteEncodedText()
在這裏
var pluginLinks = metadata != null && metadata.PluginLinks.Count > 0
? new ListTemplate
{
Title = metadata.PluginLinksTitle,
ListItemsMap = ToAbsoluteUrls(metadata.PluginLinks),
ListItemTemplate = @"<li><a href=""{0}"">{1}</a></li>"
}.ToString()
: "";
鏈接插頭應的URL來這裏編碼?