Почему checkmarkx отмечает это как уязвимость XSS?

Question

У меня есть следующий код в HTML-файл -

<div class="dropdown" data-type="all"> 

Checkmarx идентифицировал это утверждение в качестве потенциальной уязвимости XSS. Это первая строка в файле HTML (это шаблон/частичный, который будет вставлен во что-то еще).

Мой вопрос: почему он обозначен как потенциальная уязвимость XSS? Я прочитал страницы OWASP об этом и понял, что мне нужно избежать значений, назначенных атрибутам, но, как вы можете видеть, значения для атрибутов просто прекрасны.

Answer 1

Если это первая строка в файле, возможно, Checkmarkx не указывает правильное место в коде. Взгляните на номер исходной строки результата и номер строки назначения (показано в нижней части таблицы), которая должна указывать на место, где получен вход, и где значение, на которое влияет вход, печатается.

PS, если вы используете IE для просмотра результатов сканирования, попробуйте переключиться на Chrome или Firefox, возможно, результат окажется лучше в этих браузерах.