0
私は自分のWebコードに次の仮定のXSSの脆弱性に直面しています
元のコード:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
コードハッキング:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
が、私は緩和することができます値フィールドのセッション変数にHTMLEncodeを追加するだけです。
ありがとうございます。
HTMLEncodeを使用する前に、値がnullでないことを確認する必要があります。 –
HTMLEncodeメソッドの配置は重要ではありませんが、正しいですか?言い換えれば、口座番号は、入力タグの内部ではなく、ページの上位にエンコードすることができますか? – Raven13
文字列は、どこに文字列を作成しても、文字列です。何がどこにエンコードされているかを確認してください。 – SLaks