Javascript Hp强化问题-显示跨站点脚本在PHP中验证不佳
我使用rawurlencode方法以json格式向客户端发送数据。hpfortify中的rawurlencode方法显示跨站点脚本验证不佳。如何消除此问题。任何建议都将不胜感激 我的代码是-Javascript Hp强化问题-显示跨站点脚本在PHP中验证不佳,javascript,php,xss,sql-injection,fortify,Javascript,Php,Xss,Sql Injection,Fortify,我使用rawurlencode方法以json格式向客户端发送数据。hpfortify中的rawurlencode方法显示跨站点脚本验证不佳。如何消除此问题。任何建议都将不胜感激 我的代码是- $json_encoded = rawurlencode($json); $json_encoded = (preg_match("/[%\da-zA-Z-_]+/",htmlspecialchars($json_encoded,ENT_QUOTES, 'UTF-8')) ? $json_encoded
$json_encoded = rawurlencode($json);
$json_encoded = (preg_match("/[%\da-zA-Z-_]+/",htmlspecialchars($json_encoded,ENT_QUOTES, 'UTF-8')) ? $json_encoded : 0);
echo $json_encoded;
我在echo$json_encoded(xss验证不好)处收到错误。如果您使用任何非标准验证函数,它将始终报告此问题,您需要为此函数编写自定义规则集(数据流),以便从将来的扫描报告中删除。好消息是,它将删除具有此函数调用的所有问题 URLencoding并不是XSS问题的正确解决方案,所以无论如何,它正确地指出了这一点。(尽管您以Json响应的形式发送此消息,所以xss攻击实际上是不可能的)
我不确定htmlspecialchars函数在做什么,请参阅以确保使用正确的验证方法 我已经使用了htmlspecailchars()和正则表达式进行了更多的验证,但是攻击仍然存在。。我是否必须为验证我的数据的HP fortify或simple函数编写它。您必须为fortify编写它,请参阅有关编写自定义规则集以及如何在扫描期间使用自定义规则集的HP fortify文档。