我正在尝试用我的代码修复一些XSS错误。 #getEmailRecord是包含问题的行。如何修复这样的代码?错误:网页中与脚本相关的HTML标记的中和不正确(基本XSS)。 Veracode清洁液:coldfusion.runtime.CFPage.HTMLEditFormat
tr>
<td> </td>
<td class="left"><b>To: </b></td>
<td class="left">#getEmailRecord.EMAIL_TO#</td></tr>
<tr><td colspan="4"> </td></tr>
谢谢!这是我第一次做这样的事情所以非常感谢任何帮助。
答案 0 :(得分:2)
Veracode清洁解决方案:coldfusion.runtime.CFPage.HTMLEditFormat 推荐的解决方案告诉您该怎么做。包含您在#HTMLEditFormat()#中的代码中使用的用户提供的数据的所有变量。
<td class="left">#HTMLEditFormat(getEmailRecord.EMAIL_TO)#</td></tr>
描述
用其HTML转义的等价物替换字符串中的特殊字符。
如果您使用的是ColdFusion 10或更新,则可以选择更多选项 - EncodeFor Functions