我阻止我的应用程序出现跨站点脚本缺陷。我已经为我的应用程序中的所有字段完成了验证部分,但是我不知道如果有人在URL中注入代码,如何防止此缺陷,请帮助我如何摆脱这个缺陷。 例如: 脚本:
javascript:alert(document.cookie)
就像我们在url中注入上面的代码一样,我们可以在注销后获得用户名和会话ID。
请建议我解决方案。
答案 0 :(得分:1)
html解码/编码无法帮助,我在大多数Web应用程序(如Atlassian JIRA,Slack)上测试了这一点,所有这些都允许这个,并且它是在html页面中打印的。此标记仅适用于以下情况: 如果正在打印 在href属性 -
<a href="javascript:alert(document.cookie)">Test</a>
在Onclick属性中
<a href=# onclick="javascript:alert(document.cookie)" >test</a>
因此,请确保您没有直接在href或onClick属性中打印任何内容,如果您要在其中添加任何可以手动检测javascript的过滤器,或者不要忘记在链接之前附加http://。
答案 1 :(得分:0)
在地址栏中输入javascript:alert(document.cookie)的人不是一个漏洞。
如果攻击者在他们的网站上放置一个链接到javascript:alert(document.cookie)的href,那么它只会在攻击者的网站上显示cookie。
只有用户才能在自己的浏览器中输入代码。这称为Self-XSS。
如果这不是您的意思,请使用工作网址示例更新您的问题(您可以将您的域名更改为example.com以获取隐私权限),然后添加评论让我知道并且我我会更新我的答案。