Il token contiene un vettore XSS riflesso nell'errore del tag form in Chrome

1

Abbiamo un'app Web e inviamo l'URL posteriore tramite post a varie pagine per consentire agli utenti di tornare al genitore.

Le virgolette sono tradotte in " per evitare XSS e poi tradotte. Il tag finale è come questo - form name="back_url" action="script side server" method="post". Queste doppie virgolette stanno creando il messaggio "Il token contiene un vettore XSS riflesso". Una volta rimossi le virgolette come form name = back_url action = server side script method = post, il pulsante back funziona. Questo problema è solo in Chrome. Non sei sicuro di come risolvere questo problema.

    
posta kumar 19.08.2015 - 15:43
fonte

1 risposta

1

Dovresti usare la codifica dell'URL non la codifica HTML. Se l'URL codifica il parametro back_url, le virgolette non devono attivare alcun avviso XSS e non dovrai occuparti della conversione avanti e indietro per far funzionare correttamente il reindirizzamento.

Fai attenzione anche al fatto che questo design introduce una vulnerabilità di reindirizzamento aperto nella tua applicazione. Un utente malintenzionato può creare un URL per il tuo sito web che reindirizza a un sito controllato da un utente malintenzionato quando usa il pulsante Indietro se non stai correttamente disinfettando il parametro back_url.

    
risposta data 19.08.2015 - 16:32
fonte

Leggi altre domande sui tag