如何从具有查询字符串的HTML页面重定向以及在查询字符串上避免使用XSS?
目前我们正在重定向以下内容:
<script type="text/javascript" language="javascript">
window.location="https://ccc.com/aaa/?whr=urn:aaa:sss";
</script>
但是,当应用程序使用第三方安全性进行测试时,它会报告漏洞与?whr =。与https://ccc.com/aaa/?whr=%22%3E%3Cqss%3E一样。
请为我们提供指导,以克服此漏洞。
答案 0 :(得分:0)
由于在网址参数:
之后显示?
,您可能会收到此消息。
在代码背后,当您创建url字符串时,使用
对参数进行编码Server.UrlEncode(string s);
http://msdn.microsoft.com/en-us/library/zttxte6w(v=vs.110).aspx