在R& D之后我没有解决这个问题。请找到下面的代码并帮我解决这个veracode缺陷。
switch说明 - 函数调用包含HTTP响应拆分漏洞。将未经过授权的用户提供的输入写入HTTP标头 允许攻击者操纵浏览器呈现的HTTP响应,从而导致缓存中毒和交叉 脚本攻击。
答案 0 :(得分:1)
您可以对用户输入进行编码,这将是固定的。
Response.AppendHeader("Content-Disposition"," attachment; filename = " + Server.UrlEncode(Session["user_id"]) + "_makler.pdf");
答案 1 :(得分:0)
这是一个简单的问题 只需添加
Session["user_id"].ToString().Replace("\n",String.Empty).Replace("\r",String.Empty)