【发布时间】:2013-09-16 20:33:23
【问题描述】:
要在客户端的浏览器中打开 pdf 文件,我使用以下服务器端 C# 代码
context.Response.BinaryWrite(byteArray);
现在的问题是 Veracode 在这一行给出了 XSS 漏洞(CWE ID 80)。
谁能帮我解决这个缺陷?
【问题讨论】:
【发布时间】:2013-09-16 20:33:23
【问题描述】:
这表明受污染的数据正在到达请求的响应流中。这意味着攻击者可能可能将数据注入您的网站(我们称之为 XSS)或在这种特定情况下您的 pdf 文件(与 XSS 不同,但仍然是注入漏洞)。我会确保攻击者没有向量可以将任意数据注入您的 PDF 文件,这可能会被用来危害该 PDF 文档的使用者。
【讨论】:
-
但是如何解决呢?你将如何解决这个 Veracode 失败?代码应该如何体现?
-
@m0nty,这个安全漏洞应该如何修复?
-
遗憾的是,答案是“视情况而定”。没有完整的来源,就没有办法知道。一般来说,您必须确保写入响应流的变量来自不包含未经处理的用户输入的可信来源。