CWE-80:网页中与脚本相关的 HTML 标签的不正确中和(基本 XSS)和 CWE-201:将敏感信息插入到发送的数据中
我收到以下代码的名为“CWE-80:网页中与脚本相关的 HTML 标记的不正确中和(基本 XSS)”的 veracode 漏洞问题。
var planNumber = <%=request.getParameter("planNumber") %>;
var guid = "<%=trivisionApp.getCustomerGUID() %>";
还有另一种类型的漏洞问题,名为“CWE-201:将敏感信息插入发送的数据”,代码如下:
<script src="/acumepro/javascript/master2.js?v=<%=trivisionApp.getVersionNumber() %>" type="text/javascript"></script>
如何解决这些漏洞,我目前正在从事JSP相关项目。
I am getting veracode vulnerability issue named "CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)" for the following code.
var planNumber = <%=request.getParameter("planNumber") %>;
var guid = "<%=trivisionApp.getCustomerGUID() %>";
Also there is another type of vulnerability issue named "CWE-201: Insertion of Sensitive Information Into Sent Data" for the below piece of code:
<script src="/acumepro/javascript/master2.js?v=<%=trivisionApp.getVersionNumber() %>" type="text/javascript"></script>
How to solve these vulnerability, I am currently working on JSP related project.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我们可以使用“org.owasp.encoder.Encode”下的Encode.forJavaScript()函数。下面是演示:
We can use Encode.forJavaScript() function under "org.owasp.encoder.Encode". Below is the demonstration: