网站已在OWASP ZAP测试工具中运行,从而导致跨网站脚本错误。 请分享一些修复技术来修复XSS问题。
网址:example.com/sites/javascript:alert(1); /modules/lightbox2/js 参数:全部
此工具未提供以下信息
1.可能发生黑客攻击的地方/哪个文件。
请告知如何解决XSS问题
答案 0 :(得分:0)
看起来注入可能落在链接href,iframe src或其他处理URL重定向的地方。如果没有看到反射在页面的源或生成源(DOM)中的位置,则无法判断。
一般建议是让应用程序从用户输入中删除javascript :(以及对URL进行编码的各种方式,如URL,HTML等)。