var param=document.getElementById("test").value;
var url= "http://localhost/app/default.aspx?test="+param;
Window.showModalDialog(url);
showModalDialog方法行显示我强化开放重定向问题。无论如何我可以在客户端解决问题(在javascript文件中)?
非常感谢您的帮助。
答案 0 :(得分:0)
Fortify表示您正在将用户重定向到一个新网站,该网站的网址由用户输入组成,如果使用输入值以特殊方式操纵攻击者,则可能允许攻击者进行网络钓鱼或执行其他攻击。 OWASP.org reference
解决此问题的最佳方法是在服务器上为参数test
创建可接受参数值的白名单,因此当服务器收到test
值的请求时,它可以如果未识别/无效参数的值,则将用户重定向到页面。鉴于问题中提供的信息,对于仅存在于客户端的此问题没有可靠的解决方案。一个正则表达式在理论上会有所帮助,尽管我不确定Fortify是否会对正则表达式的卫生设施感到满意。