0
我在我的网页代码面临以下假设的XSS漏洞:XSS减缓HTML/VBScript中/经典的ASP
原代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
遭到黑客攻击代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
我能减轻这只需将HTMLEncode
添加到值字段中的会话变量?
谢谢。
他们应该在使用HTMLEncode之前检查该值是否为空。 –
HTMLEncode方法的放置不重要,对吗?换句话说,帐号可以在页面上更高地编码,而不是特别在输入标签内? – Raven13
无论您在哪里创建字符串,字符串都是字符串。只要确保你知道什么是编码在哪里。 – SLaks