我在我的web代码中面临以下假设的XSS漏洞:
原代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
被黑代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
我可以通过简单地将HTMLEncode添加到值字段中的会话变量来缓解这一点吗?
谢谢。
没错。您需要对插入到HTML中的所有文本进行HTML编码。
您还需要对插入到Javascript代码中的任何文本进行Javascript编码,并且您需要对插入到url中的任何文本进行url编码。