问题描述
我们仍在使用Kentico 10,但PCI扫描失败。结果表示XXS漏洞。 Kentico Documentation尚未完全了解如何解决此问题。在“搜索”框中使用alert(1)进行了测试,并在消息框弹出窗口中使用“ 1”执行了该操作。
已经使用建议更新了Web Config文件。文档中列出了以下几种避免方法,但是我不确定该在哪里进行。在CMS本身?在服务器上?
解决方法
如果您在“搜索框”中键入了脚本调用并收到了弹出窗口,则意味着您需要对输入的文本进行编码。 HTMLEncode可能是我要做的第一个。在将其保存到系统中或将输入用于任何内容之前,请先进行代码隐藏。
