如何修复Veracode-跨站点脚本-CWE ID 80-基本XSS-在.each函数中使用$(item)
因此,当我们的web应用程序被扫描以查找Veracode时,我会发现许多跨站点脚本缺陷,
“Web页面中与脚本相关的HTML标记的不当中和(Basic XSS)”(CWE ID 80)。
而且,由于我们有几个缺陷,我不知道如何解决这个特殊的情况。下面是我的代码-
$(".ui-dialog-buttonset .ui-button:visible").each(function(index, item) {
var label = $(item).text();
if (label == "Save" || label == "Create")
$(item).click();
});
我可以看到在$(item).text();和$(item)行上报告的缺陷。单击();行。
我知道,对于文本,我可以使用类似dompurify.sanitize的东西来清除字符串。
但是,我不明白为什么veracode报告$(item)。单击();是因为$(item)本身不安全吗?
如果是,我该如何修复它?我将非常感谢在这方面的任何帮助。
共有1个答案
好的,从DOMPurify库找到了修复程序。您也可以使用domPurify清理DOM元素。
因此,下面的代码起作用-item=domPurify.sanitize(item,{safe_for_jquery:true});
-
只要应用程序获取不受信任的数据并将其发送到客户端(浏览器)而未经验证,就会发生跨站点脚本(XSS)。这允许攻击者在受害者的浏览器中执行恶意脚本,这可能导致用户会话劫持,破坏网站或将用户重定向到恶意站点。 下面我们借助一个简单图表了解这个漏洞的威胁代理,攻击向量,安全弱点,技术影响和业务影响。 威胁代理 - 内部/外部用户或管理员发送给系统的不受信任的数据。 攻击者的方法 - 发送不受信任的数据/基
-
有人能解释为什么VeraCode认为使用作为公共属性是一个坏主意,并提出一个很好的缓解意见吗? 代码(JavaScript): 攻击矢量:名称 描述: ,对name()的调用包含跨站点脚本(XSS)漏洞。该应用程序使用不受信任的输入填充HTTP响应,从而允许攻击者嵌入恶意内容(如Javascript代码),这些内容将在受害者浏览器的上下文中执行。XSS漏洞通常被用来窃取或操纵cookie、修改内容
-
我们在ASP中有一个遗留的web应用程序。Net和C#,我们得到了大约400多个由Veracode扫描引起的跨站点脚本缺陷。我创建了一个示例web应用程序并模拟了这个问题,发现每当我们直接使用任何字符串输入时,都会产生缺陷。正在执行HttpUtility。HtmlEncode(TextBox1.Text);“满足了veracode的要求,但是在所有400个地方应用这一更改是不可行的,因为届时将需要
-
类别 存储型 XSS 攻击 反射型 XSS 攻击 基于 DOM 的 XSS 攻击
-
问题内容: 是否可以在CSS样式表中使用跨站点脚本?例如,参考样式表包含恶意代码,您将如何处理?我知道您可以使用样式标签,但是样式表呢? 问题答案: 来自浏览器安全手册 JavaScript执行的风险。作为一个鲜为人知的功能,某些CSS实现允许将JavaScript代码嵌入样式表中。至少有三种方法可以实现此目标:使用expression(…)指令,该指令可以评估任意JavaScript语句并将其值