堆栈内存溢出
  简体   繁体   English

JavaScript 中的 XSS 漏洞

[英]XSS vulnerability in javascript

 原文  2017-07-11 13:02:18       javascript/ xss/ fortify

问题描述

Fortify showing XSS vulnerability for following code on document.write Fortify 在 document.write 上显示以下代码的 XSS 漏洞

for (var i in this.links)
{
 if (i == this.links.length - 1)
 {
   document.write(((i == 0) ? "" : " | ") + this.text[i]);
 }
 else
 {
   document.write(((i == 0) ? "" : " | ") + "<a href='" + this.links[i] + "'>" + this.text[i] + "</a>");
 }
}

1 个解决方案

解决方案1
 0  2017-07-11 14:44:53

You need to sanitize your data before you use document.write.在使用 document.write 之前,您需要清理数据。 Also, since you're inserting HTML into the DOM you are opening yourself up for DOM XSS Attacks.此外,由于您将 HTML 插入到 DOM 中,因此您正在为 DOM XSS 攻击敞开大门。

I advise you to read this on how to prevent XSS and this to prevent DOM based XSS attacks我建议你阅读关于如何防止XSS和这个防止基于DOM的XSS攻击

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 文件下载-JavaScript中存储的XSS漏洞 - File download - stored XSS vulnerability in JavaScript 如何防止javascript中的客户端DOM XSS漏洞? - How to prevent Client DOM XSS vulnerability in javascript? XSS漏洞 - XSS vulnerability XSS漏洞 - XSS Vulnerability XSS攻击漏洞-使用JavaScript或jQuery调整查询 - XSS attack vulnerability - Tweaking query using JavaScript or jQuery 在客户端使用不受信任的数据分配 JavaScript 变量是否是 XSS 漏洞? - Is it an XSS vulnerability to assign JavaScript variables with untrusted data on the client side? HTML字段XSS漏洞 - HTML fields XSS vulnerability 尽管编码了 XSS 漏洞 - XSS vulnerability despite encoding XSS漏洞定位器 - XSS vulnerability locator 明显的jsonp xss漏洞 - Apparent jsonp xss vulnerability
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM