CI_CSRF_Token был установлен на «OnMouseOver= Prompt (XSS) PANT=»
-
10-12-2019 - |
Вопрос
Я использовал скрытое поле CI_CSRF_TOKEN в моих формах. Нота Любая форма в моем скрипте Get Alert с сканером веб-уязвимости Acunetix.
Уверенные детали:
вход cookie ci_csrf_token был установлен на "onmouseover= prompt (965267) плохо=" Вход отражается внутри элемента тегов между двойными цитатами.
В поле зрения Источник:
<тип ввода="скрытое" имя="ci_csrf_token" значение="\\" onmouseover= Prompt (965267) Bad="" />
Может кто-нибудь помочь мне решить это?
Решение
Вам нужно атрибуту HTML кодировать токен, прежде чем положить его в скрытое поле.Вы добавляете его в форму на стороне клиента или на стороне сервера?Если вы сделаете это на стороне сервера, вы можете сделать проверку ввода, чтобы убедиться, что токен находится в ожидаемом формате.