CI_CsRF_Token wurde auf "onMouseover= Prompt (XSS) Bad=" gesetzt
-
10-12-2019 - |
Frage
Ich habe CI_Csrf_Token-verstecktes Feld in meinen Formularen verwendet. Aber jedes Formular in meinem Skript erhalten Alert mit Acunetix-Webanfälligkeitscanner.
Alarm Details:
Cookie-Eingang ci_csrf_token wurde auf "onMouseover= Prompt (965267) schlecht=" gesetzt Der Eingang spiegelt sich in einem Tag-Element zwischen doppelten Zitaten wider.
in der Ansichtsquelle:
Kann mir jemand helfen, es zu lösen?
Lösung
Sie müssen das HTML-Attribut den Token codieren, bevor Sie es in das verborgene Feld einsetzen.Fügen Sie es dem Formular auf der Clientseite oder der Serverseite hinzu?Wenn Sie es auf der Serverseite tun, möchten Sie möglicherweise die Eingabevalidierung durchführen, um sicherzustellen, dass sich das Token im erwarteten Format befindet.