CWE-838 输出上下文语义编码不恰当 类漏洞列表 3

CWE：CWE-838 输出上下文中的不适当编码 英文：The product uses or specifies an encoding when generating output to a downstream component, but the specified encoding is not the same as the encoding that is expected by the downstream component. 译文：产品在向下游组件生成输出时使用或指定了一种编码，但指定的编码与下游组件预期的编码不一致。 这种弱点可能导致下游组件使用一种解码方法，从而产生与产品意图发送的数据不同的数据。当使用了错误的编码——即使是非常相近的编码——下游组件可能会错误地解码数据。当控制与数据之间的边界被无意破坏时，这可能会带来安全后果，因为生成的数据可能会引入产品未发送的控制字符或特殊元素。生成的数据随后可能被用于绕过输入验证等保护机制，并启用注入攻击。虽然使用输出编码对于确保组件之间的通信准确无误至关重要，但使用错误的编码——即使是非常相近的编码——可能导致下游组件误解输出。例如，HTML实体编码用于网页HTML主体中的元素。然而，程序员在生成用于HTML标签属性中的输出时可能会使用实体编码，这可能会包含不受HTML编码影响的JavaScript代码。虽然Web应用程序因这一问题受到了最多的关注，但这种弱点可能适用于任何使用支持多种编码的通信流的产品类型。