ci_csrf_token foi definido como "OnMouseover= Prompt (XSS) Bad="
-
10-12-2019 - |
Pergunta
Eu usei o campo oculto ci_csrf_token em meus formulários. Mas qualquer forma no meu script recebe alerta com o Scanner de vulnerabilidade da Web Acunetix.
Detalhes de alerta:
...Entrada de cookie ci_csrf_token foi definido como "OnMouseover= Prompt (965267) Bad=" A entrada é refletida dentro de um elemento de tag entre aspas duplas.
na fonte Fonte:
.
Alguém pode me ajudar a resolvê-lo?
Solução
Você precisa o atributo HTML codifique o token antes de colocá-lo no campo oculto.Você adiciona ao formulário no lado do cliente ou no lado do servidor?Se você fizer isso no lado do servidor, poderá fazer a validação de entrada para garantir que o token esteja no formato esperado.
Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow