如何解决如何解决/修复 OWASP ZAP 报告的 DOM XSS 问题?
我正在使用 Owasp ZAP 扫描我的 Web 应用程序,该应用程序使用 asp.net 框架/C# 开发。 公司要求我确保 Owasp ZAP 不报告任何错误。
Owasp ZAP 报告了这个日志: 问题:跨站点脚本(基于 DOM) 网址:
http://[WEBSITE]/myapplication/script.aspx#jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e
我理解片段(#hex)不会发送到服务器进行处理,更多的是浏览器处理。
那么我应该怎么做才能确保它永远不会在 Owasp ZAP 中再次被报告? 我已经完成了以下操作,但没有运气:
-
在页面上,我嵌入了 javascript 代码,以删除 url 中的主题标签。 (Remove fragment in URL with JavaScript w/out causing page reload)。它有效,我可以看到它在浏览器上被删除。但 Owasp ZAP 仍将其报告为问题。
-
与#1 类似,我用javascript 来检测URL 中是否存在#-fragment-url。如果存在,则重定向到“错误”页面。它正在工作,但 ZAP 再次将其报告为问题。
我猜因为浏览器从不将 # 发送到服务器进行验证,所以我无法对其进行消毒。当 ZAP/浏览器收到响应时,ZAP 会将其报告为问题。
那我该怎么办?我只希望 Owasp ZAP 不再报告此问题。 有什么想法吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。