Question

最近，我们在Web应用程序上运行VeraCode。在下面的几行中，我们获得了CWE80，即网页中的脚本相关HTML标记的不正确中和功能

reassignButton.Attributes.Add("ReassignRefId", HttpUtility.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("ReferrelId", HttpUtility.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("onclick", "MultipleReferralButtonClick('" + rfid + "')");

有人建议如何解决此问题吗？

Answer 1

我使用Microsoft.Security.Application.Encoder.HtmlAttributeEncode（）解决了它。参见下面的代码。

reassignButton.Attributes.Add("ReassignRefId", Microsoft.Security.Application.Encoder.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("ReferrelId", Microsoft.Security.Application.Encoder.HtmlAttributeEncode(rfid));
statusButton.Attributes.Add("onclick", "MultipleReferralButtonClick('" + Microsoft.Security.Application.Encoder.HtmlAttributeEncode(rfid) + "')");

如何解决网页（Basic XSS）中与脚本相关的HTML标记对属性的不正确中和？

1 个答案: