Моя служба безопасности сообщила одна HTML инъекционный тег проблемы безопасности для кода нижеHTML инъекции тег в asp.net
function ClosePopUp(objBhID) {
var pageName = window.location.pathname;
var modalPopupBehavior = $find(objBhID);
if (modalPopupBehavior != null && modalPopupBehavior != 'undefined') {
modalPopupBehavior.hide();
}
if (objBhID == 'bhThankMsg' && pageName == '/Projects/Comm.aspx') {
var objPartnerID = '<%=Request.QueryString["partnerid"]%>';
if (objPartnerID != 'undefined' && objPartnerID != null && objPartnerID != '') {
window.location = '/Projects/Comm.aspx?Id=<%=Request.QueryString["ID"]%>&partnerid=<%=Request.QueryString["partnerid"]%>';
}
else {
window.location = '/Projects/Comm.aspx?Id=<%=Request.QueryString["ID"]%>';
}
}
}
Моя служба безопасности сообщила ниже вопрос
уязвимости инъекции HTML теги были определены на это веб-приложение. Вкладки HTML-тегов используются для помощи в кросс-сайтах подделок и фишинговых атак сторонних веб-сайтов и часто могут удваиваться как уязвимости межсайтового скриптинга. Рекомендации включают внедрение безопасных методов программирования, которые обеспечивают надлежащую фильтрацию данных, предоставленных пользователем, и кодирование всех предоставленных пользователем данных для предотвращения отправки вставленных сценариев конечным пользователям в формате, который может быть выполнен.
Мое требование: я не хочу, чтобы любой пользователь или хакер вводил ненужные данные, как этого добиться?
... и в чем собственно вопрос?!? – ViRuSTriNiTy
Необходимо указать, в чем проблема. Вы спрашиваете, как безопасно фильтровать входные данные пользователя или что? Я не вижу вопросительного знака где-либо в вашем «вопросе», –