我有一个使用jquery和bootstrap的网站。
现在,当我通过扫描应用程序运行它时,会出现很多问题,包括使用append(),html()和write()以及指向XSS攻击。这些问题可以在引导程序和jquery文件(bootstrap.js)中找到。
在搜索stackoverflow之后,我发现了这些jquery函数的安全替代品,但不幸的是,这些替代品破坏了我的应用程序。
我是否可以在不更改底层引导程序代码的情况下解决安全问题?
还是因为在没有外部输入到站点且所有文件都来自受信任来源的情况下是安全的?
答案 0 :(得分:0)
还是因为在没有外部输入到站点且所有文件都来自受信任来源的情况下是安全的?
是的(假设您对来源的信任没有错)。
答案 1 :(得分:0)
将.text()函数用于不安全的输入:
var input = $("'/><script>alert('I am an attacker!')</script>").text();