Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Angular 生成文件中的main.xxxxxxxxxxx.js包含与XSS漏洞相关的img src=x onerror=alert(1)。有办法摆脱它吗?_Angular_Security_Angular Cli_Xss - Fatal编程技术网
Fatal编程技术网
  • angular/
  • Angular 生成文件中的main.xxxxxxxxxxx.js包含与XSS漏洞相关的img src=x onerror=alert(1)。有办法摆脱它吗?

Angular 生成文件中的main.xxxxxxxxxxx.js包含与XSS漏洞相关的img src=x onerror=alert(1)。有办法摆脱它吗?

angular security

Angular 生成文件中的main.xxxxxxxxxxx.js包含与XSS漏洞相关的img src=x onerror=alert(1)。有办法摆脱它吗?,angular,security,angular-cli,xss,Angular,Security,Angular Cli,Xss,在Angular中进行生产构建时,创建的main.xxxxxxxx.js包含以下代码 <img src="</style><img src=x onerror=alert(1)"//> 我已经在多个项目中证实了这种行为,包括样板项目。由于这一特定代码行与XSS攻击的关系,它似乎是恶意的,有没有办法摆脱它?另外,有人能解释为什么这条可疑的线存在,如果它有任何可能的用途,或者它是Angular公司的一个bug吗 有人能解释一下为什么会有这条可疑的线吗 它看起来像是

在Angular中进行生产构建时,创建的main.xxxxxxxx.js包含以下代码

<img src="</style><img src=x onerror=alert(1)"//>
我已经在多个项目中证实了这种行为,包括样板项目。由于这一特定代码行与XSS攻击的关系,它似乎是恶意的,有没有办法摆脱它?另外,有人能解释为什么这条可疑的线存在,如果它有任何可能的用途,或者它是Angular公司的一个bug吗

有人能解释一下为什么会有这条可疑的线吗

它看起来像是作为一个消毒脚本插入的,你可以看到它

inertBodyElement.innerHTML='';
这个类有描述

/**
*这个助手类用于获取包含脏HTML的DOM元素的惰性树
*那需要消毒。
*根据浏览器支持的不同,我们必须使用三种策略之一来实现这一点。
*支持:Safari 10.x->XHR策略
*支持:Firefox->DomParser策略
*默认值:InertDocument策略
*/
参考文献a似乎与a有关。DOMPurify发行说明声明:

安装此最新版本的用户不受此错误的影响 DOMPurify修复了问题并缓解了问题 不再信任Gecko的innerHTML实现。 而不是将document.implementation和 domprify现在正在使用DOMParser特性 可在所有现代浏览器中使用

因此,这段代码正在对DOM进行清理,以防止这种XSS攻击。这本身不是一种剥削

有办法摆脱它吗

你不想摆脱这个,这是件好事