如何解决在vb.net中使用Request.Url.AbsolutePath时如何防止xss
当我在此行扫描项目代码时,在checkmarx中遇到严重性高的安全问题
lnkGeneral.NavigateUrl = Me.Request.Url.AbsolutePath & "?ID=" & eID & "&View=" & HttpUtility.UrlEncode("General")
它突出显示了Me.Request.Url.AbsolutePath
,确保我不能对Html.UrlEncode
做Me.Request.Url.AbsolutePath
,所以想知道它的解决方法是什么。
这是Checkmarx中的描述
应用程序的SetupView在CommissioningTerm.ascx.vb的第254行将不可信数据嵌入到带有Navigationurl的生成的输出中。这些不受信任的数据无需进行适当的清理或编码即可直接嵌入到输出中,从而使攻击者能够将恶意代码注入到输出中。
通过简单地在用户输入的绝对路径中提供修改后的数据,攻击者将能够更改返回的网页,该数据由SetupView方法在CommissionTerm.ascx.vb的第254行读取。然后,此输入将直接通过代码直接流到输出网页,而无需进行清理。
这可以启用“反射式跨站点脚本(XSS)”攻击。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。