HP強化問題-顯示跨站點腳本的PHP驗證不力
[英]Hp fortify issue- showing cross site scripting poor validation in PHP
問題描述
我正在使用rawurlencode方法以json格式將數據發送到客戶端。 它顯示了hpfortify中rawurlencode方法中跨站點腳本驗證不力。如何解決此問題。 任何建議深表感謝。
我的代碼是-
$json_encoded = rawurlencode($json);
$json_encoded = (preg_match("/[%\da-zA-Z-_]+/",htmlspecialchars($json_encoded,ENT_QUOTES, 'UTF-8')) ? $json_encoded : 0);
echo $json_encoded;
我在echo $ json_encoded (xss驗證不正確)時出錯。
1 個解決方案
解決方案1
0 2016-05-04 10:37:11
如果您使用任何非標准驗證功能,它將始終報告此問題, 需要為此功能編寫自定義規則集(數據流)以從將來的掃描報告中刪除,而且好消息是,它將刪除具有此函數調用的所有問題。
URLencoding不是XSS問題的正確解決方案,因此無論如何正確指出。 (盡管您是在Json響應中發送此消息,所以實際上不可能進行xss利用)
我不確定htmlspecialchars函數在做什么,請參考OWASP速查表,以確保您使用的是正確的驗證方式。
跨站點腳本:DOM Fortify
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.