以下代码容易受到基于dom的xss的攻击吗?

时间:2018-11-22 19:37:01

标签: javascript security dom xss

一位安全审计员向我报告说,以下html / js片段易受XSS攻击。

简而言之:

if (window.location.hash) {
        var hash = window.location.hash.substring(1);
        var elem = $('#reports_nav_links .' + hash);
        var path = elem.data('path');

安全审核员没有提供有关如何利用它来显示警告框的任何细节。

默认生成的网址是:

/ report#q1

如果它很容易受到攻击,您能否也请提供一个有效载荷示例,该示例将显示带有此代码的警报框?

谢谢, 丹。

0 个答案:

没有答案