我的reactJS应用程序正在使用axios插件进行请求调用。 通过Fortify进行的漏洞扫描在axios.js
中的此行上为跨站点脚本(XSS)提供了严重错误。{错误:bundle.js中的resolveURL()方法将未经验证的数据发送到第470011行的Web浏览器,这可能导致浏览器执行恶意代码。}
urlParsingNode.setAttribute('href', href);
由于我无法更改axios插件代码,因此在调用axios.get()之前尝试对请求url进行编码,因此我使用了npm ESAPI并调用了以下内容:
axios.get(ESAPI.encoder().encodeForURL('/appName/moduleName/serviceendpoint'),config)
但这不能解决漏洞。在调用axios.get或post之前,我还尝试了其他npm api对URL进行序列化,但是没有一个起作用。
var serialize = require('serialize-javascript');
var xss = require('xss');
var xssFilters = require('xss-filters');