HTML未指定charset
描述:HTML未指定Charset
如果响应指出它包含HTML内容但未指定字符集,则浏览器可以分析HTML并尝试确定其似乎正在使用的字符集。即使大多数HTML实际上采用了标准字符集,例如UTF-8,响应中任何地方的非标准字符都可能导致浏览器使用不同的字符集解释内容。这可能会产生意外的结果,并可能导致跨场脚本漏洞,在这种漏洞中,可以使用非标准的编码来绕过应用程序的防御性过滤器。
在大多数情况下,没有Charset指令并不构成安全缺陷,尤其是在响应中包含静态内容的情况下。您应该查看受影响的响应的内容及其出现的上下文,以确定是否存在任何漏洞。
修复:HTML未指定CHARSET
对于每个包含HTML内容的响应,该应用程序应包含在内容类型的标题中charset = ISO-8859-1。
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00800200
类型索引(十进制)
8389120