XSS уязвимость при отправке URL в Safari прошивкой
После моего кода получил отсканированы, Отчет показывает уязвимость XSS произошло при попытке открыть веб-страницу в приложении Safari.
[[UIApplication sharedApplication] openURL:[NSURL URLWithString:[event objectForKey:@"url"]]];
«событие» - это NSDictionary, где я получил через NSURL с моего сервера.
Я понимаю, что, чтобы избежать XSS, вы должны кодировать свой вывод.
, но это испортит URL-адрес, и Safari не сможет открыть правильную веб-страницу?
Или что-то еще вызывает проблему?
Я не знаком с безопасностью, поэтому любые указатели будут оценены.
Заранее благодарен!
Я думаю, это потому, что это динамически созданный URL-адрес, который вы не проверяете, прежде чем передавать его в openURL: – Tim