![](/img/trans.png)
[英]jQuery .html() function causes CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) warning in Veracode
[英]How to fix Veracode - Cross site scripting - CWE ID 80 - Basic XSS - use of $(item) in .each function
因此,當我們在Web應用程序中掃描Veracode時,我發現許多跨站點腳本缺陷,
“網頁中與腳本相關的HTML標記的不正確中和(基本XSS)”(CWE ID 80)。
而且,由於存在一些缺陷,我無法弄清楚如何解決此特定情況。 以下是我的代碼-
$(".ui-dialog-buttonset .ui-button:visible").each(function(index, item) {
var label = $(item).text();
if (label == "Save" || label == "Create")
$(item).click();
});
我可以看到在$(item).text();
上報告了缺陷$(item).text();
和$(item).click();
線。
我知道,對於文本,我可以使用DOMPurify.sanitize
類的DOMPurify.sanitize
來清理字符串。
但是,我不明白,為什么Veracode為$(item).click();
是因為$(item)
本身不安全嗎?
如果是,那我該如何解決? 我將不勝感激。
好的,從DOMPurify庫中找到修復程序。 您也可以使用DOMPurify清理DOM元素。
因此,以下代碼有效-
item = DOMPurify.sanitize(item, {SAFE_FOR_JQUERY:true});
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.