项目场景:
提示:这里简述项目相关背景:
HTML script 安全验证
**
程序永远不可以相信用户的输入。
**
问题描述
系统做安全测试,发现系统中允许直接调用用户输入的脚本内容,如 ,系统加载完,会重复执行这个脚本。
原因分析:
提示:这里填写问题的分析:
当恶意用户输入 脚本 重定向到其他界面后,会误导用户输入登录账号密码,有安全风险
解决方案:
提示:这里填写该问题的具体解决方案:
ASP.NET 平台 WEB FORM HTML 可使用
<%#Server.HtmlEncode((Eval("test").ToString()))%>
若是 MVC ,则使用 Html.raw() 解决