基于AngularJS DOM的跨站点脚本漏洞

时间:2018-06-27 11:28:02

标签: angularjs security

AngularJS 1.6.5存在关于使用x.location.href

的安全问题 
DOM-based cross-site scripting (DOM_XSS)2. sink: 
Calling ua, which uses x.location.href for sensitive computation.

AngularJS 1.3.8没有此问题。除了降级AngularJS之外,还有什么方法可以解决此漏洞?

更新:尽管我不确定这些建议的含义,但我已经找到了这些建议。如何将JS代码执行列入白名单?

  • 应避免将HTML作为文本进行操作。 JavaScript代码 执行:针对白名单验证所有不受信任的数据,以便 攻击者无法执行其提供的代码。
  • URL操作:确保方案已列入白名单,并且没有 允许注入URL,例如: “ data:text / html;”。

0 个答案:

没有答案
相关问题
最新问题