堆棧內存溢出
  簡體   English   中英

如何修復Veracode-跨站點腳本-CWE ID 80-基本XSS-在.each函數中使用$(item)

[英]How to fix Veracode - Cross site scripting - CWE ID 80 - Basic XSS - use of $(item) in .each function

 原文  2018-12-04 12:13:58       javascript/ jquery/ html/ user-interface/ veracode

問題描述

因此,當我們在Web應用程序中掃描Veracode時,我發現許多跨站點腳本缺陷,

“網頁中與腳本相關的HTML標記的不正確中和(基本XSS)”(CWE ID 80)。

而且,由於存在一些缺陷,我無法弄清楚如何解決此特定情況。 以下是我的代碼- 

$(".ui-dialog-buttonset .ui-button:visible").each(function(index, item) {
    var label = $(item).text();
    if (label == "Save" || label == "Create")
        $(item).click();
});

我可以看到在$(item).text();上報告了缺陷$(item).text(); $(item).click(); 線。
我知道,對於文本,我可以使用DOMPurify.sanitize類的DOMPurify.sanitize來清理字符串。
但是,我不明白,為什么Veracode為$(item).click(); 是因為$(item)本身不安全嗎?
如果是,那我該如何解決? 我將不勝感激。

1 個解決方案

解決方案1
 0 已采納  2018-12-17 12:49:56

好的,從DOMPurify庫中找到修復程序。 您也可以使用DOMPurify清理DOM元素。
因此,以下代碼有效-
item = DOMPurify.sanitize(item, {SAFE_FOR_JQUERY:true});

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 jQuery .html()函數導致CWE-80:Veracode中網頁(基本XSS)中與腳本相關的HTML標記的不正確中和警告 如何修復 JSP 表達式標簽中的跨站點腳本 (XSS) 跨站點腳本(XSS)可能嗎? 如何在允許 HTML 輸入的同時防止 XSS(跨站點腳本) 如何防止我們的 URL 遭受跨站腳本攻擊 (XSS)? 有關XSS(跨站點腳本)攻擊的問題 XSS(跨站點腳本)與 HTML 注入 JavaScript文件中反映的XSS跨站點腳本 使用連字符的跨站點腳本(XSS) 修復跨站點腳本問題
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM