ZAP HTML报告声明XSS攻击: 参数:用户名 攻击:alert(1);ZAP XSS攻击尝试修复输入验证但不工作?
如何解决我的HTML问题,以便ZAP不会说我的用户名里有XSS攻击?我知道它与输入验证/白名单有关吗?
我试图按照此:https://tododev.wordpress.com/2013/12/27/detecting-and-fixing-xss-using-owasp-tools/
,但它留给我更糊涂了,我就是一个初学者。
您应该使用OWASP Java Encoder而不是ESAPI。如何在您的代码中使用OWASP Java编码器的示例:
<%@ page contentType="text/html;charset=UTF-8" %>
<%@ page import="org.owasp.encoder.Encoder" %>
<%-- HTML context --%>
<body><b><%= Encode.forHtml(textValue) %>" /></b></body>
<%-- HTML Attribute context --%>
<input type="text" name="address"
value="<%= Encode.forHtmlAttribute(addressData) %>" />
<%-- HTML Content context --%>
<textarea name="text">
<%= Encode.forHtmlContent(textAreaContent>" />
<%-- Javascript Block context --%>
<script type="text/javascript"> var msg = "<%= Encode.
forJavaScriptBlock(message) %>"; alert(msg); </script>
<%-- Javascript Variable context --%>
<button onclick="
alert('<%= Encode.forJavaScriptAttribute(alertMsg) %>');
">click me</button>
希望这有助于您!