使用 angular 中的 index.html 加強掃描問題

Question

我的應用程序使用 angular 前端和 aspnet 核心和強化掃描在 index.html 上提出了安全問題。 一個問題是這條線。

document.write('base href="'=+ document.location+'"/>');

我的理解是這是一個單頁應用程序，為我們提供了加載其他組件和腳本的基礎容器。 那么我該如何解決這個問題呢？ 這不應該是 angular SPA 的樣子嗎？ 其次，掃描還將多行顯示為漏洞。 那些將是然后類似地 main.gh9787998886.bundle.js 等。

我怎樣才能解決這個問題？ 這些是誤報嗎？

Answer 1

Fortify 經常顯示誤報（我認為一定不要忘記任何事情）。 例如，如果有一些 javascript 代碼，如 key = 'something'，則使用“硬編碼加密密鑰”之類的消息強化聲明。 我在 Kendo UI 等第三方組件執行類似操作的捆綁包中多次遇到這種情況。 在 Fortify 中，您可以將它們在開發者狀態中標記為“第三方組件”，並讓它們作為被抑制的問題消失。 Fortify 會記住下一次代碼檢查，因此您只需執行一次。

document.write('base href="'=+ document.location+'"/>');

我認為這不是誤報。 我建議將其替換為

  <base href=".">

對於您使用它來涵蓋不同部署的情況，您應該更好地使用 --baseHref 選項來構建命令。