JavascriptでOpenifyリダイレクトの問題を解決する

Question

var param=document.getElementById("test").value; 
var url= "http://localhost/app/default.aspx?test="+param; 
Window.showModalDialog(url); 

showModalDialogメソッドの行は、オープンリダイレクトの問題を強化しています。とにかくクライアント側（JavaScriptファイル内）で問題を解決できるのですか？

お手数をおかけしますようお願い申し上げます。

Answer 1

Fortifyは、入力値を使用して特別な方法で操作された場合、攻撃者がフィッシングや他の攻撃を実行する可能性のある新しいサイトにユーザーをリダイレクトしていると言っています。この問題を解決するためにOWASP.org reference

最良の方法は、サーバがtestの値を持つ要求を受信したときに、それがページにユーザーをリダイレクトすることができ、パラメータtestのための許容可能なパラメータ値のサーバー上にホワイトリストを作成することですパラメータの値が認識されないか無効である場合。問題に提供された情報があれば、クライアント側だけに存在するこの問題に対する信頼できる修正はありません。正規表現は理論的には役立つだろうが、Fortifyが正規表現衛生に満足するかどうかは不明だ。