Как удалить исполняемый JavaScript из переменной QueryString?

Question

У меня есть страница URL что-то вроде этого: https://site.com/page.aspx?QSVariableName=Value

Наша команда безопасности повысила уязвимость о том, что если часть Значение вводится с исполняемым JS, то есть что-то вроде:

https://site.com/page.aspx?QSVariableName=Value%27%2balert%281234567890%29%2b%27 (эквивалентно переходу Значение '+ предупреждение (1234567890) +)

Тогда предупреждается от события OnClick гиперссылки я имею на странице, которая использует значение.

Как я уже сказал, это не то, что я делаю намеренно, но идентифицируется как уязвимость в коде. Итак, вопрос в том, как я могу убедиться, что QSVariableName использует только значение и игнорирует ненужный код (позволяет сохранить JS только сейчас)?

Сложность, которая приходит мне на ум, это QSVariableName может содержать ЛЮБОЙ код JS, а не только alert(). И он может присутствовать где угодно, а не только в конце. Есть ли способ идентифицировать исполняемый код JS, встроенный в строку?

Это нормально, если значение является плохой «строкой», если оно не содержит ничего исполняемого.

Answer 1

Что делать, если, вместо того чтобы положить QSVariableName непосредственно в атрибут onclick, вы использовали switch/case шаблон, чтобы выбрать функцию, основанную на QSVariableName? Вы также можете сопоставить соответствующие строки запросов с соответствующими функциями с помощью ассоциативного массива. В любом случае, вы бы только обрабатывали QSVariableName как строку и только использовали безопасный и предварительно одобренный JS в своем onclick событии. Недостатком является то, что любой, кто пытается внедрить JS в строку запроса, получит ошибку, но они пытаются взломать ваш сайт ... их пользовательский интерфейс должен страдать соответственно.

Не видя больше кода, я не уверен, что я могу придумать лучшего ответа ...