Ein Scanner-Tool, das wir verwenden, meldet ein Sicherheitsrisiko. Es überwachte die Antwort von GET /metadata
innerhalb ServiceStack.Metadata.IndexOperationsControl.Render()
und berichtete eine Antwort ohne Validierung oder Codierung. Insbesondere beschweren sich über die URL. Hier ist das Snippet es ist besorgt über:Sollten die Links auf der ServiceStack-Metadatenseite codiert sein?
<h3>Plugin Links:</h3><ul><li><a href="https://mysitedomain/swagger-ui/">Swagger UI</a></li></ul> </div> <p> </p>
ich zu viel zu verallgemeinern könnte. Es sieht aus wie das Problem, dass letztlich ist, ServiceStack nennt System.Web.UI.HtmlTextWriter.Write()
statt System.Web.UI.HtmlTextWriter.WriteEncodedText()
für den Stecker in Links
var pluginLinks = metadata != null && metadata.PluginLinks.Count > 0
? new ListTemplate
{
Title = metadata.PluginLinksTitle,
ListItemsMap = ToAbsoluteUrls(metadata.PluginLinks),
ListItemTemplate = @"<li><a href=""{0}"">{1}</a></li>"
}.ToString()
: "";
Sollte die URL hier codiert werden?