小贝子编程

CWE-80:网页中与脚本相关的HTML标记的不当中和(基本XSS)和CWE-201:在发送的数据中插入敏感信息

本文关键字：CWE-201 XSS 数据信息插入基本脚本网页 HTML CWE-80 javascript java jsp veracode
更新时间 : 2023-09-21
英文 : CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) and CWE-201: Insertion of Sensitive Information Into Sent Data

我收到名为"的veracode漏洞问题；CWE-80:网页中与脚本相关的HTML标记的不当中和(Basic XSS("；用于以下代码。

var planNumber = <%=request.getParameter("planNumber") %>;
var guid = "<%=trivisionApp.getCustomerGUID() %>";

还有另一种类型的漏洞问题，称为"；CWE-201：将敏感信息插入到发送数据中"；对于以下代码：

<script src="/acumepro/javascript/master2.js?v=<%=trivisionApp.getVersionNumber() %>" type="text/javascript"></script>

如何解决这些漏洞，我目前正在从事JSP相关的项目。

我们可以在"org.owasp.encoder.Encode"；。以下是演示：

<script src="/acumepro/javascript/master2.js?v=<%=Encode.forJavaScript( trivisionApp.getVersionNumber()) %>" type="text/javascript"></script>
var guid = "<%=Encode.forJavaScript(trivisionApp.getCustomerGUID()) %>";

CWE-80:网页中与脚本相关的HTML标记的不当中和(基本XSS)和CWE-201:在发送的数据中插入敏感信息

相关内容

最新更新

热门标签：