CI_CSRF_Token a été réglé sur "Onmouseover= Invite (XSS) Bad="
-
10-12-2019 - |
Question
J'ai utilisé le champ CI_CSRF_TENK HIDEND dans mes formulaires.Mais n'importe quel formulaire de mon script Obtenez une alerte avec Scanner de vulnérabilité Web acunetix.
Détails d'alerte:
entrée de cookie CI_CSRF_Token a été réglé sur "Onmouseover= Invite (965267) Bad=" L'entrée est réfléchie à l'intérieur d'un élément de balise entre guillemets doubles.
dans la source de la vue:
Quelqu'un peut-il m'aider à résoudre?
La solution
Vous devez avoir l'attribut HTML coder le jeton avant de la mettre dans le champ caché.L'ajoutez-vous au formulaire du côté client ou du serveur?Si vous le faites du côté serveur, vous souhaiterez peut-être effectuer une validation d'entrée pour vous assurer que le jeton est sur le format attendu.