Fatal编程技术网
  • csharp/
  • C# 如何避免WinC窗体中反射的xss_all_客户端漏洞

C# 如何避免WinC窗体中反射的xss_all_客户端漏洞

c# winforms security

C# 如何避免WinC窗体中反射的xss_all_客户端漏洞,c#,winforms,security,xss,checkmarx,C#,Winforms,Security,Xss,Checkmarx,目前,我正在为一个Winforms项目工作。 当我通过CheckMarx扫描我的Winforms应用程序时,我得到了多个反射的xss_all_客户端漏洞。 我知道Winforms中没有脚本。XSS是一种网络威胁,但在扫描过程中可能会有某种方法来补救这些威胁 以下是错误代码第1节: private void UpdatePreviewValue() { try { // Set the preview value if (txtFieldVa

目前,我正在为一个Winforms项目工作。 当我通过CheckMarx扫描我的Winforms应用程序时,我得到了多个反射的xss_all_客户端漏洞。 我知道Winforms中没有脚本。XSS是一种网络威胁,但在扫描过程中可能会有某种方法来补救这些威胁

以下是错误代码第1节:

private void UpdatePreviewValue()
  {
     try
     {
        // Set the preview value
        if (txtFieldValue.Text != string.Empty)
        {
           // Show the preview value
           lblPreview.Text = "(" + txtFieldValue.Text + ")";
        }
        else
        {
           // Show that there is no field value
           lblPreview.Text = Properties.Resources.Std_Txt_Fld_NoFieldValue;
        }
     }
     catch (Exception ex)
     {
        frmErrorHandler.ShowDataError(Properties.ErrorStrings.ErrorTitle_SrcFldCtlInteger_UpdatePreviewValue, DataErrorImageConstants.Exclamation, ex);
     }
  }
在上面的代码部分中,行lblPreview.Text=+txtFieldValue.Text+;正在抛出反映的所有客户端漏洞

以下是错误代码第2节:

      /// <summary>
      /// Method to copy an existing node for moving inside a grid
      /// </summary>
      /// <param name="rowToCopy">GridRow to copy</param>
      /// <returns>GridRow</returns>
      private GridRow CopyGridRow(GridRow rowToCopy)
      {
         GridRow newRow = gridCategories.NewRow();
         newRow.Tag = rowToCopy.Tag;
         newRow.Cells[0].Text = rowToCopy.Cells[0].Text;
         newRow.Cells[0].Image = rowToCopy.Cells[0].Image;
         newRow.Cells[1].Text = rowToCopy.Cells[1].Text;

         if (rowToCopy.HasRows)
         {
            foreach (GridRow nestedRow in rowToCopy.NestedRows)
            {
               newRow.NestedRows.Add(CopyGridRow(nestedRow));
            }
         }

         return newRow;
      }
在上面的代码部分中,行SetDiscreteValuetxtDiscreteValue.Text,true,null,false;正在为txtdicutevalue.Text抛出反射的xss_所有_客户端漏洞

如果可能的话,请建议任何补救方法。

Checkmarx将按照字符串从输入到使用。有时,它将一个未被fillterd传输到前端的变量标识为XSS

至于我,我总是忽略Checkmarx报告的XSS。也许您可以在使用字符串变量之前使用filler函数。像这样

     txtFieldValue.Text=cleanXSS(txtFieldValue.Text)
至于CleanXS,您可以在google之后找到许多示例。

Checkmarx将按照字符串从输入到使用。有时,它将一个未被fillterd传输到前端的变量标识为XSS

至于我,我总是忽略Checkmarx报告的XSS。也许您可以在使用字符串变量之前使用filler函数。像这样

     txtFieldValue.Text=cleanXSS(txtFieldValue.Text)
至于cleanXSS,你可以在google之后找到很多例子。

我担心Checkmarx会将你的项目视为WebApp,因为它有一个来自Web家族的扩展名文件。你有这样的文件吗?别理它。@baruchiro,我没有这样的文件。除了忽略之外,还有什么方法可以处理它吗?@user14285851我同意baruchiro的观点,您的安全团队应该选择一个Checkmarx预设,其中不包括显然不适用于Winforms应用程序的与web相关的Vuln。还可以通过预设管理器@RomanCanlas创建一个新预设。预设是否应用于整个解决方案,而不是单个项目?如果我的解决方案同时包含Web和Windows窗体项目,我能解决吗?我担心Checkmarx会将您的项目视为WebApp,因为有一个文件扩展名来自Web家族。你有这样的文件吗?别理它。@baruchiro,我没有这样的文件。除了忽略之外,还有什么方法可以处理它吗?@user14285851我同意baruchiro的观点,您的安全团队应该选择一个Checkmarx预设,其中不包括显然不适用于Winforms应用程序的与web相关的Vuln。还可以通过预设管理器@RomanCanlas创建一个新预设。预设是否应用于整个解决方案,而不是单个项目?如果我的解决方案同时包含Web和Windows窗体项目,我是否可以接受?请提供此类示例的链接。我试过谷歌,但没有找到。你能给我提供这样的例子的链接吗。我试过谷歌,但没找到。