javascript 分析用戶端程式碼並消毒其輸入來源

今天收到一分 IBM Rational AppScan 8.0.0.3 所建立的檢測報告,
雖然, 覺得是誤判, 但還是改一下, 試試看讓檢測工具可以過.

報告如下:



使用一個 html 來做測試:

* 說明: 測試在輸入的參數裡, 帶 javascript, 是可以直接 alert 出訊息.



修改 javascript, 在處理的參數前面, 增加 encodeURI:




測試結果 ok, 可能可以過檢測, 請客戶重新檢測看看: