Sollten die Links auf der ServiceStack-Metadatenseite codiert sein?

Question

Ein Scanner-Tool, das wir verwenden, meldet ein Sicherheitsrisiko. Es überwachte die Antwort von GET /metadata innerhalb ServiceStack.Metadata.IndexOperationsControl.Render() und berichtete eine Antwort ohne Validierung oder Codierung. Insbesondere beschweren sich über die URL. Hier ist das Snippet es ist besorgt über:

<h3>Plugin Links:</h3><ul><li><a href="https://mysitedomain/swagger-ui/">Swagger UI</a></li></ul> </div> <p>&nbsp;</p> 

ich zu viel zu verallgemeinern könnte. Es sieht aus wie das Problem, dass letztlich ist, ServiceStack nennt System.Web.UI.HtmlTextWriter.Write() statt System.Web.UI.HtmlTextWriter.WriteEncodedText() für den Stecker in Links

  var pluginLinks = metadata != null && metadata.PluginLinks.Count > 0 
      ? new ListTemplate 
      { 
       Title = metadata.PluginLinksTitle, 
       ListItemsMap = ToAbsoluteUrls(metadata.PluginLinks), 
       ListItemTemplate = @"<li><a href=""{0}"">{1}</a></li>" 
      }.ToString() 
      : ""; 

Sollte die URL hier codiert werden?

Answer 1

Es gibt keine Sicherheitsbedenken, die Links auf den Metadatenseiten werden von Plugins definiert, die zur Kompilierungszeit statisch bekannt sind, d. H. Sie binden niemals unbekannte benutzerdefinierte Links ein.