我在表单中使用了ci_csrf_token隐藏字段。但是我的脚本中的任何表单都会通过Acunetix Web漏洞扫描程序获得警报。
提醒详情:
Cookie输入ci_csrf_token设置为“onmouseover = prompt(965267)bad =” 输入反映在双引号之间的标记元素内。
在视图源中:
< input type =“hidden”name =“ci_csrf_token”value =“\\”onmouseover = prompt(965267)bad = \“”/>
任何人都可以帮我解决吗?
答案 0 :(得分:0)
在将令牌放入隐藏字段之前,您需要对令牌进行html属性编码。您是将它添加到客户端或服务器端的表单?如果您在服务器端执行此操作,则可能需要进行输入验证以确保令牌符合预期格式。