0
내 웹 코드에서 다음과 같은 가상 XSS 취약성에 직면하고있어
원래 코드 : <INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
코드를 해킹 : <INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
내가 완화 할 수 값 필드의 세션 변수에 HTMLEncode
을 추가하는 것만으로?
감사합니다.
HTMLEncode를 사용하기 전에 값이 null이 아닌지 확인해야합니다. –
HTMLEncode 메서드의 배치는 중요하지 않습니다 만, 맞습니까? 즉, 계좌 번호는 페이지에서 더 높게 인코딩 될 수 있으며 특히 입력 태그 내부가 아닌 인코딩 될 수 있습니까? – Raven13
문자열은 문자열과 상관없이 문자열입니다. 인코딩 된 부분을 알고 있는지 확인하십시오. – SLaks