我在网络代码中面临以下假设的XSS漏洞:
原始代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>
黑客代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>
我可以通过将HTMLEncode添加到值字段中的会话变量来缓解此问题吗?
感谢。
答案 0 :(得分:1)
完全。您需要对插入到HTML中的所有文本进行HTML编码。
您还需要对插入到Javascript代码中的任何文本进行Javascript编码,并且您需要对插入到URL中的任何文本进行URL编码。