问题描述
我正在使用 Owasp ZAP 扫描我的 Web 应用程序,该应用程序使用 asp.net 框架/C# 开发。 公司要求我确保 Owasp ZAP 不报告任何错误。
Owasp ZAP 报告了这个日志: 问题:跨站点脚本(基于 DOM) 网址:
http://[WEBSITE]/myapplication/script.aspx#jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e
我理解片段(#hex)不会发送到服务器进行处理,更多的是浏览器处理。
那么我应该怎么做才能确保它永远不会在 Owasp ZAP 中再次被报告? 我已经完成了以下操作,但没有运气:
-
在页面上,我嵌入了 javascript 代码,以删除 url 中的主题标签。 (Remove fragment in URL with JavaScript w/out causing page reload)。它有效,我可以看到它在浏览器上被删除。但 Owasp ZAP 仍将其报告为问题。
-
与#1 类似,我用javascript 来检测URL 中是否存在#-fragment-url。如果存在,则重定向到“错误”页面。它正在工作,但 ZAP 再次将其报告为问题。
我猜因为浏览器从不将 # 发送到服务器进行验证,所以我无法对其进行消毒。当 ZAP/浏览器收到响应时,ZAP 会将其报告为问题。
那我该怎么办?我只希望 Owasp ZAP 不再报告此问题。 有什么想法吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)