2012-07-19 188 views
0

我在測試移動應用程序時遇到了以下錯誤。我如何解決這個XSS錯誤?XSS漏洞

將q請求參數的值作爲標記之間的純文本複製到HTML文檔中。有效載荷2906f<script>alert(1)</script>b08ffac3085已在q參數中提交。這個輸入在應用程序的響應中未被修改。

這個概念證明攻擊證明可以在應用程序的響應中注入任意JavaScript。

回答

0

在將它放入HTML文檔之前,先對它進行編碼。

使用JavaScript(因爲這是您提到的唯一語言),通常意味着使用createTextNode而不是innerHTML