Javascript 空字符串值上的Veracode XSS
代码扫描通过后。我已报告我的jsp中存在CWE ID 80 for XSS漏洞的XSS问题:Javascript 空字符串值上的Veracode XSS,javascript,jsp,xss,veracode,Javascript,Jsp,Xss,Veracode,代码扫描通过后。我已报告我的jsp中存在CWE ID 80 for XSS漏洞的XSS问题: <%@ attribute name="styleId"%> ... document.getElementById("${styleId}").value=""; (XSS here) ... document.getElementById(“${styleId}”).value=”“;(这里是XSS) 我不明白是什么问题在哪里?我必须转义空字符串吗?或者styleId或者两者都有?
<%@ attribute name="styleId"%>
...
document.getElementById("${styleId}").value=""; (XSS here)
...
document.getElementById(“${styleId}”).value=”“;(这里是XSS)
我必须使用EASPI.encodeForHTML吗?这里的问题是styleId可以引入s。 因此,您必须使用js的规则来转义styleId。 因此,我添加了自定义标记库 在util.tag中
<function>
<name>escapeJavaScript</name>
<function-class>org.apache.commons.lang.StringEscapeUtils</function-class>
<function-signature>java.lang.String escapeJavaScript( java.lang.String )</function-signature>
</function>
逃逸脚本
org.apache.commons.lang.StringEscapeUtils
java.lang.String escapeJavaScript(java.lang.String)
...
document.getElementById(“${util:escapeJavaScript(styleId)”).value=”“;
<%@ attribute name="styleId"%>
<%@ taglib prefix="util" uri="http://tags/util" %>
...
document.getElementById("${util:escapeJavaScript(styleId)").value="";