我有以下代码在我的项目中处理我的dashboard.js文件,扫描HP FOD工具,在线路上发现漏洞:
var selectOption = $("#county option[value=" + selectValue + "]").text();
工具说明如下:
handlers.js中的方法lambda()将未经验证的数据发送到Web 上面的浏览器。
答案 0 :(得分:1)
首先,你没有说selectValue来自哪里(我认为这是重要的一点),静态分析可以完成的任何限制。
在任何情况下,我现在能想到的最糟糕的情况是获得一个匹配页面上任意项目的选择器并删除它们:
var selectValue = "''], *, foo[bar";
var selector = "#county option[value=" + selectValue + "]";
var selectOption = $(selector);
console.log("Final selector: %s", selector, selectOption.length);
console.log("Selected items: %s", selectOption.length);<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
答案 1 :(得分:0)
这意味着变量ansib ... --extra-vars var1=1 var2=2 var3=3 > /path...可以包含任何内容,并且它用于填充可以提交给服务器的选项的值。
如果您确定要清理服务器上的国家/地区选项,则说明问题已解决。
任何HTML表单元素都可能被篡改,无论如何都应该在服务器上进行清理。