亂馬客

有時白箱工具會掃出 Client Cross Frame Scripting Attack ，

可以在 Header 中加入設定 X-FRAME-OPTIONS 

但是這樣有些 白箱工具並不知道，

客戶還是會要你改到 Report 看不到，

那怎麼辦呢?

我們有程式被掃出 Missing XML Validation 的問題，
發生的地方是在 XmlReader.Create(  ...

要如何解決呢?

在原始碼掃描的Report之中，有一些 Heuristic 開頭的 Issue，

例如 Heuristic SQL Injection, Heuristic 2nd Order SQL Injection 。

最近舊的ASP.NET Web Forms 專案，會被原碼掃描軟體掃出 XSRF 的Issue。

使用到 Math.random() 會被一些原始碼掃描工具掃出「Insecure Randomness」。

針對 Path Manipulation flow，我們也可以使用 Regex 來驗證檔名哦!

針對 Path Manipulation(Input Validation and Representation, Data flow) 的問題，
可以提供一個 GetValidateFileName Method (透過DirectoryInfo來Filter檔名)，來取得合法的檔案名稱。
然後再針對這個Method回傳的檔案進行操作。

jQuery安全檢測的Issues?