我目前正在使用angular 7在代码库上工作,我需要提供证据证明angular项目中的一段代码不是漏洞。我对前端开发非常陌生,希望社区提供一些有关分析的意见。 最近,对该项目的Fortify SSAP扫描使用来自@ angular / router模块的一段代码提供了V2漏洞。 该漏洞位于以下代码块的“ setTimeout”处,其摘要为“动态代码评估:代码注入(输入验证和表示,数据流)”
/**
* Sets up the location change listener.
*/
Router.prototype.setUpLocationChangeListener = function () {
var _this = this;
// Don't need to use Zone.wrap any more, because zone.js
// already patch onPopState, so location change callback will
// run into ngZone
if (!this.locationSubscription) {
this.locationSubscription = this.location.subscribe(function (change) {
var rawUrlTree = _this.parseUrl(change['url']);
var source = change['type'] === 'popstate' ? 'popstate' : 'hashchange';
var state = change.state && change.state.navigationId ?
{ navigationId: change.state.navigationId } :
null;
setTimeout(function () { _this.scheduleNavigation(rawUrlTree, source, state, { replaceUrl: true }); }, 0);
});
}
};