Angular 生成文件中的main.xxxxxxxxxxx.js包含与XSS漏洞相关的img src=x onerror=alert(1)。有办法摆脱它吗?
在Angular中进行生产构建时,创建的main.xxxxxxxx.js包含以下代码Angular 生成文件中的main.xxxxxxxxxxx.js包含与XSS漏洞相关的img src=x onerror=alert(1)。有办法摆脱它吗?,angular,security,angular-cli,xss,Angular,Security,Angular Cli,Xss,在Angular中进行生产构建时,创建的main.xxxxxxxx.js包含以下代码 <img src="</style><img src=x onerror=alert(1)"//> 我已经在多个项目中证实了这种行为,包括样板项目。由于这一特定代码行与XSS攻击的关系,它似乎是恶意的,有没有办法摆脱它?另外,有人能解释为什么这条可疑的线存在,如果它有任何可能的用途,或者它是Angular公司的一个bug吗 有人能解释一下为什么会有这条可疑的线吗 它看起来像是
<img src="</style><img src=x onerror=alert(1)"//>
我已经在多个项目中证实了这种行为,包括样板项目。由于这一特定代码行与XSS攻击的关系,它似乎是恶意的,有没有办法摆脱它?另外,有人能解释为什么这条可疑的线存在,如果它有任何可能的用途,或者它是Angular公司的一个bug吗
有人能解释一下为什么会有这条可疑的线吗
它看起来像是作为一个消毒脚本插入的,你可以看到它
inertBodyElement.innerHTML='';
这个类有描述
/**
*这个助手类用于获取包含脏HTML的DOM元素的惰性树
*那需要消毒。
*根据浏览器支持的不同,我们必须使用三种策略之一来实现这一点。
*支持:Safari 10.x->XHR策略
*支持:Firefox->DomParser策略
*默认值:InertDocument策略
*/
参考文献a似乎与a有关。DOMPurify发行说明声明:
安装此最新版本的用户不受此错误的影响
DOMPurify修复了问题并缓解了问题
不再信任Gecko的innerHTML实现。
而不是将document.implementation和
domprify现在正在使用DOMParser特性
可在所有现代浏览器中使用
因此,这段代码正在对DOM进行清理,以防止这种XSS攻击。这本身不是一种剥削
有办法摆脱它吗
你不想摆脱这个,这是件好事