如何解决Django + OWASP ZAP 跨站点脚本反射- HTML 输入标签的值属性是否存在风险?
在我的 Django 项目中,我在我网站上的大多数页面的导航栏中都有一个搜索输入。
我是 Owasp ZAP 的初学者。运行扫描后,发出的高优先级警报之一(红旗图标)是 Cross Site Scripting (Reflected)。
就我而言,这是我的网站搜索 for (let i = 0; i <= intNum; i++) {
getData1(url1,true)
.then(() => getData2(url2,true))
.then(() => {
fnc1(i)
return getData3(url3,true)
})
.then(() => getData4(url4,true))
.then(() => {
fnc2(i)
if(i === intNum) fnc3()
})
}
:
form
如果有人在搜索框中搜索 <form method="GET" id="searchForm">
<input type="text" name="q"
id="searchQuery" placeholder="Search..." autocomplete="off" maxlength="100" required="">
</form>
,则 javascript:alert(1);
属性包含相同的内容。
value=
这是一个潜在的漏洞还是 Django 正在清理输入?此表单是使用 Django <form method="GET" id="searchForm">
<input type="text" name="q" value="javascript:alert(1);"
id="searchQuery" placeholder="Search..." autocomplete="off" maxlength="100" required="">
</form>
:
forms.ModelForm
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。