[英]How to fix Veracode - Cross site scripting - CWE ID 80 - Basic XSS - use of $(item) in .each function
因此,当我们在Web应用程序中扫描Veracode时,我发现许多跨站点脚本缺陷,
“网页中与脚本相关的HTML标记的不正确中和(基本XSS)”(CWE ID 80)。
而且,由于存在一些缺陷,我无法弄清楚如何解决此特定情况。 以下是我的代码-
$(".ui-dialog-buttonset .ui-button:visible").each(function(index, item) {
var label = $(item).text();
if (label == "Save" || label == "Create")
$(item).click();
});
我可以看到在$(item).text();上报告了缺陷$(item).text(); 和$(item).click(); 线。
我知道,对于文本,我可以使用DOMPurify.sanitize类的DOMPurify.sanitize来清理字符串。
但是,我不明白,为什么Veracode为$(item).click(); 是因为$(item)本身不安全吗?
如果是,那我该如何解决? 我将不胜感激。
好的,从DOMPurify库中找到修复程序。 您也可以使用DOMPurify清理DOM元素。
因此,以下代码有效-
item = DOMPurify.sanitize(item, {SAFE_FOR_JQUERY:true});
jQuery .html()函数导致CWE-80:Veracode中网页(基本XSS)中与脚本相关的HTML标记的不正确中和警告
[英]jQuery .html() function causes CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) warning in Veracode
如何在允许 HTML 输入的同时防止 XSS(跨站点脚本)
[英]How to prevent XSS (Cross Site Scripting) whilst allowing HTML input
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.