如果未使用“数据目标”属性,Bootstrap 3.3.7是否安全可靠?

时间:2018-09-18 14:02:04

标签: security twitter-bootstrap-3 frontend xss

关于Bootstrap 3.3.7,有一个security vulnerability。它说:“此程序包的受影响版本很容易通过data-target属性受到跨站点脚本(XSS)攻击。”我想知道如果不使用“数据目标”属性,v3.3.7是否可以安全使用。

1 个答案:

答案 0 :(得分:0)

仅当data-target值依赖于外部(直接或间接)注入的数据并且显示在攻击者以外的其他用户页面上时,才会发生所谓的“ 漏洞”受到影响。

换句话说,如果您的所有data-target属性均由硬编码的html文本组成,那么这不是问题。如果此页面仅被攻击者看到(自我攻击...),通常也不是问题。

例如,您还可以说jQuery .html()是一个漏洞,这种情况更为明显,但如果您是完全Web初学者或只是不专心,则仍然容易受到XSS的攻击。<​​/ p>

因此,一般来说,避免将未经转义的用户数据注入第三方:弹出窗口,工具提示等在幕后直接操作DOM的任何事物。

我个人认为这不是一个很大的漏洞,但是如果像 bootstrap 这样的著名框架处理这种情况或明确地将该方法命名为警告开发人员是不安全的,那就更好了。

Chrome审核认为bootstrap 3.3.x是一个漏洞(via synk):

  

包括具有已知安全漏洞的前端JavaScript库