我在HTML文件中有以下代码 -
<div class="dropdown" data-type="all">
Checkmarx已将此声明确定为潜在的XSS漏洞。这是HTML文件中的第一行(它是一个模板/部分,将插入到其他内容中)。
我的问题是 - 为什么它被标记为潜在的XSS漏洞?我确实阅读了有关它的OWASP页面,并了解我需要转义分配给属性的值,但正如您所看到的,属性的值很好。
答案 0 :(得分:1)
如果这是文件中的第一行,则可能是Checkmarx未在代码中标记正确的位置。查看结果的源行号和目标行号(显示在底部的表格中),该行号应指向收到输入的位置,以及打印输入影响的值。 / p>
PS,如果您使用IE查看扫描结果,请尝试切换到Chrome或Firefox,结果可能会在这些浏览器上呈现得更好。