如何解决客户端 DOM XSS、Checkmarx 标记 JavaScript/jQuery 代码、需要清理帮助
我有一个遗留的自定义脚本,它通过 jQuery append() 方法操作现有的 HTML。
Checkmarx 对此进行了标记,并显示类似于以下内容的错误消息:
应用程序的函数XXX 将不受信任的数据嵌入到生成的输出中,并在第 XXX 行附加。这种不受信任的数据未经适当的清理或编码直接嵌入到输出中,使攻击者能够将恶意代码注入到输出中。
我必须更新此代码,因此我正在查看使用白名单的第三方 JS 库,例如 XSS (https://www.npmjs.com/package/xss) 或 dompurify (https://www.npmjs.com/package/dompurify)。
我的问题是这个脚本中有很多 HTML 标签被 jQuery 操作。 table、tr、td、a、input、select等元素和各种属性。属性列表必须包含多个 aria-xxx 标签,例如 aria-disabled、aria-owns、aria-pressed、adumasom 才能使 jQuery UI 正常工作。
也许可以添加钩子来 dompurify,我想我可以允许任何以“aria-”开头的属性。这似乎是一个丑陋的解决方案。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
