需要帮助分析角度/路由器,SSAP动态代码评估:setTimeout上的代码注入

时间:2019-07-18 17:41:02

标签: angular fortify

我目前正在使用angular 7在代码库上工作,我需要提供证据证明angular项目中的一段代码不是漏洞。我对前端开发非常陌生,希望社区提供一些有关分析的意见。 最近,对该项目的Fortify SSAP扫描使用来自@ angular / router模块的一段代码提供了V2漏洞。 该漏洞位于以下代码块的“ setTimeout”处,其摘要为“动态代码评估:代码注入(输入验证和表示,数据流)”

        /**
         * Sets up the location change listener.
         */
        Router.prototype.setUpLocationChangeListener = function () {
            var _this = this;
            // Don't need to use Zone.wrap any more, because zone.js
            // already patch onPopState, so location change callback will
            // run into ngZone
            if (!this.locationSubscription) {
                this.locationSubscription = this.location.subscribe(function (change) {
                    var rawUrlTree = _this.parseUrl(change['url']);
                    var source = change['type'] === 'popstate' ? 'popstate' : 'hashchange';
                    var state = change.state && change.state.navigationId ?
                        { navigationId: change.state.navigationId } :
                        null;
                    setTimeout(function () { _this.scheduleNavigation(rawUrlTree, source, state, { replaceUrl: true }); }, 0);
                });
            }
        };

0 个答案:

没有答案