XSS HTMLリンクタグの脆弱性

Question

セキュリティチームは、私のWebサイトで脆弱性検査を実行しました。この脆弱性検査では、多くのXSSの脆弱性が示されています。

スクリプトが二重引用符た後、次のとおりです：

すべての脆弱性は3未満にして分類することができ、リンクタグの場合、それは、スクリプトは、href属性の二重引用符として後に添加することができることを示してい以下：二重引用符の後

<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"><script src=as213eS.js> 

タグ：

<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"<a href=javascript:alert(12312)>aa</a> 

二重引用符の後にSVGタグ：

<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"><svg onload=alert(12321）>

グーグルは、脆弱性のこれらのタイプのを防ぐ方法についてはあまり助けにはなりませんでした。助言がありますか？

Answer 1

• htmlにデータを組み込むと、システムでデータをエンコードします（デフォルトでは、それを使用するフレームワークを使用することをお勧めします）。 の場合、エンコードします。 2つのタグ間、属性内、またはJavaScript内に含めるには、別の方法でエンコードする必要があります。そのため、データベースではなく、使用する必要があるときにエンコードします。

• CSP（コンテンツセキュリティポリシー）を使用して、XSSが何かを見逃した場合にXSSが多大な損害を被るのを防ぎ、防止します。