Почему checkmarx помечает это как XSS-уязвимость?

У меня есть следующий код в файле HTML -

<div class="dropdown" data-type="all">

Checkmarx определил это заявление как потенциальную XSS-уязвимость. Это первая строка в файле HTML (это шаблон/партиал, который будет вставлен во что-то еще).

Мой вопрос: почему это помечено как потенциальная уязвимость XSS? Я читал страницы OWASP об этом и понял, что мне нужно экранировать значения, присвоенные атрибутам, но, как вы можете видеть, значения для атрибутов в порядке.


xss checkmarx
person callmekatootie    schedule 09.02.2016    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Если это первая строка в файле, возможно, Checkmarx не отмечает нужное место в коде. Взгляните на номер исходной строки результата и номер строки назначения (показанный в таблице внизу), которые должны указать вам место, где получен ввод и где напечатано значение, на которое влияет ввод.

PS, если вы используете IE для просмотра результатов сканирования, попробуйте переключиться на Chrome или Firefox, возможно, результат будет лучше отображаться в этих браузерах.

person Amit    schedule 25.02.2016