ci_csrf_token被设置为“onmouseover=提示（xss）bad=”

Question

我使用的表单中使用了ci_csrf_token隐藏字段。在我的脚本中的任何表单获取警报Acunetix Web漏洞扫描仪。

警报详情：

cookie输入ci_csrf_token设置为“onmouseover=提示（965267）bad=” 输入反映在双引号之间的标签元素内。

在视图源：

<输入类型=“hidden”name=“ci_csrf_token”值=“\\”onmouseOver=提示（965267）bad= \“”/>

任何人都可以帮助我解决它吗？

Answer 1

您需要在将其放入隐藏字段之前对令牌进行编码。您是否将其添加到客户端或服务器端的表单？如果您在服务器端进行，您可能需要做输入验证以确保令牌处于预期格式。