[英]XSS mitigation in HTML/VBScript/Classic ASP
我的網絡代碼中面臨以下假設的XSS漏洞:
原始代碼: <INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
被黑的代碼: <INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
我可以簡單地通過將HTMLEncode
添加到value字段中的session變量來減輕這種情況嗎?
謝謝。
究竟。 您需要對所有插入HTML的文本進行HTML編碼。
您還需要對插入到Javascript代碼中的所有文本進行Javascript編碼,並且需要對插入到URL中的所有文本進行URL編碼。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.