CI_CsRF_Token wurde auf "onMouseover= Prompt (XSS) Bad=" gesetzt

https://stackoverflow.com//questions/9646887

xss
codeigniter
penetration-testing
csrf
codeigniter-2

10-12-2019
|

Frage

Ich habe CI_Csrf_Token-verstecktes Feld in meinen Formularen verwendet. Aber jedes Formular in meinem Skript erhalten Alert mit Acunetix-Webanfälligkeitscanner.

Alarm Details:

Cookie-Eingang ci_csrf_token wurde auf "onMouseover= Prompt (965267) schlecht=" gesetzt Der Eingang spiegelt sich in einem Tag-Element zwischen doppelten Zitaten wider.
in der Ansichtsquelle:

Kann mir jemand helfen, es zu lösen?

Lösung

Sie müssen das HTML-Attribut den Token codieren, bevor Sie es in das verborgene Feld einsetzen.Fügen Sie es dem Formular auf der Clientseite oder der Serverseite hinzu?Wenn Sie es auf der Serverseite tun, möchten Sie möglicherweise die Eingabevalidierung durchführen, um sicherzustellen, dass sich das Token im erwarteten Format befindet.

Lizenziert unter: CC-BY-SA mit Zuschreibung

Nicht verbunden mit StackOverflow