我不是一个JavaScript编码器并且有问题。显然,以下代码使用location.href和document.write()而不转义location.href来源。这导致文档对象模型(DOM)跨站点脚本(XSS)漏洞。有关如何修复的任何建议?
if(!_STNS.bLoaded){
var s="";
for(var i in _STNS.oImgs){
if(_STNS.oImgs[i]!=2){
s+=_STNS.fsGetTag("div","style=\"display:none\"",_STNS.fsGetImgTag(i,-1,-1));
}
_STNS.oImgs[i]=2;
}
document.write(s);
}
},bIsIE:false,bIsMIE:false,bIsFX:false,bIsOP:false,bIsSF:false,bIsKQ:false,oNav:null,bRTL:false,sDocMd:null,sURL:window.location.href+"",sDIR:null,bLocal:false,fsGetDocMd:function(w){
var w=w||window;
switch(w.document.compatMode){
case "QuirksMode":
case "BackCompat":
return "quirks";
case "CSS1Compat":
return "css1";
default:
return document.compatMode;
}