Checkmarx扫描会在传递或选择下拉值的地方抱怨某些“元素的值流经代码而未经过适当的清理或验证,并最终在方法OnItemDataBound中显示给用户”。例如:
strText = dropdownlist.SelectedValue;
或
return dropdownlist.SelectedValue;
如何清理这些值?HTMLencode和decode可以避免这种漏洞吗?
请注意,这是针对点网应用程序。
答案 0 :(得分:0)
假设这是指XSS漏洞发现,结果字符串就像任何其他字符串一样,并且可由攻击者控制。
所以,是的,在嵌入HTML之前,你应该在该字符串上调用HTMLEncode(或执行其他类型的清理,对上下文进行deoending,例如AntiXSS) - 就像使用任何其他外部数据一样。