<div dir="ltr"><div dir="ltr">Dear All,<div><br></div><div>We have used GeoNode for development of our portal SUVIDHA.   As a part of security  we have changed the parameter value <b> 'limit' </b>in following url to verify  c<b>ross- site scripting  attack.</b></div><div><br></div><div><b>Requested URL:</b></div><div><b><br></b></div><div><div><a href="http://bhuvan-suvidha.nrsc.gov.in/api/base/?limit=10&offset=0&title__icontains=&">http://bhuvan-suvidha.nrsc.gov.in/api/base/?limit=10&offset=0&title__icontains=&</a><b>limit=10'%22()%26%25<acx><ScRiPt%20>promp</b></div><div><b>t(971923)</ScRiPt></b>&offset=0&title__icontains=e&type__in=raster&undefined=undefined</div></div><div><br></div><div><b>Response for above URL:</b></div><div><b><br></b></div><div><b> </b><span style="color:rgb(0,0,0);white-space:pre-wrap">{"error": "Invalid limit '10'\"()&%<acx><ScRiPt >prompt(971923)</ScRiPt>' provided. Please provide a positive integer."}</span></div><div><span style="color:rgb(0,0,0);white-space:pre-wrap"><br></span></div><div><font color="#000000"><span style="white-space:pre-wrap">Although it is not accepted wrongly given input, but error message contains user given input in given format. As per cross site scripting  when ever any meta characters( Special Characters) appears in url, </span><b style="white-space:pre-wrap">the application should encode the special characters. Since response not contained encoded user </b><span style="white-space:pre-wrap"><b>given</b></span><b style="white-space:pre-wrap"> input,So The  given request treated as security alert for </b><span style="white-space:pre-wrap"><b>cross-site</b></span><b style="white-space:pre-wrap"> scripting attack</b></font></div><div><font color="#000000"><span style="white-space:pre-wrap"><br></span></font></div><div><font color="#000000"><span style="white-space:pre-wrap">Please help me how to make all GET Request  parameters to  encode before proceeding further steps</span></font></div><div><font color="#000000"><span style="white-space:pre-wrap"><br></span></font></div><div><font color="#000000"><span style="white-space:pre-wrap">Is that any setting is available for making all the requested GET parameters to encode in GeoNode /Django?</span></font></div><div><font color="#000000"><span style="white-space:pre-wrap"><br></span></font></div><div><font color="#000000"><span style="white-space:pre-wrap">Thanks&Regards,</span></font></div><div><font color="#000000"><span style="white-space:pre-wrap">Naresh</span></font></div></div></div>