SEC_003_CONTEXTUAL_OUTPUT_ENCODING: Ausgabe wird kontextgerecht escaped
Severity: must. Bereich: security.
Regel
Dynamische Werte MUESSEN passend zum HTML-, Attribut-, URL-, JavaScript- oder CSS-Kontext encoded werden; raw HTML braucht eine dokumentierte Freigabe.
Reflection-Check
check:
reflect:
object: output_contextEvidence
- OWASP_XSS, OWASP Cross Site Scripting Prevention Cheat Sheet
- OWASP_ASVS, OWASP Application Security Verification Standard