如何解决npm Axios插件中的漏洞问题

时间:2019-01-23 15:32:28

标签: security npm axios xss

我的reactJS应用程序正在使用axios插件进行请求调用。 通过Fortify进行的漏洞扫描在axios.js

中的此行上为跨站点脚本(XSS)提供了严重错误。

{错误:bundle.js中的resolveURL()方法将未经验证的数据发送到第470011行的Web浏览器,这可能导致浏览器执行恶意代码。}

urlParsingNode.setAttribute('href', href);

由于我无法更改axios插件代码,因此在调用axios.get()之前尝试对请求url进行编码,因此我使用了npm ESAPI并调用了以下内容:

axios.get(ESAPI.encoder().encodeForURL('/appName/moduleName/serviceendpoint'),config)

但这不能解决漏洞。在调用axios.get或post之前,我还尝试了其他npm api对URL进行序列化,但是没有一个起作用。

 var serialize = require('serialize-javascript'); 
 var xss = require('xss');
 var xssFilters = require('xss-filters');

0 个答案:

没有答案