Fatal编程技术网
  • dom/
  • 如何防止客户端DOM XSS漏洞<;loadXML>;用javascript?

如何防止客户端DOM XSS漏洞<;loadXML>;用javascript?

dom

如何防止客户端DOM XSS漏洞<;loadXML>;用javascript?,dom,Dom,/js/general.js第200行的方法函数获取 数据元素。然后,该元素的值在客户端代码中流动,而没有经过适当的清理或修改 已验证,并最终以loadXML的形式显示给用户,位于/js/general.js的第241行。这可能会导致DOM XSS攻击 脚本如下: success: function(data){ var xmlObj = loadXML(data); ........} function loadXML(xmlString){ xm

/js/general.js第200行的方法函数获取 数据元素。然后,该元素的值在客户端代码中流动,而没有经过适当的清理或修改 已验证,并最终以loadXML的形式显示给用户,位于/js/general.js的第241行。这可能会导致DOM XSS攻击

脚本如下:

 success: function(data){
    var xmlObj = loadXML(data);
    ........}

    function loadXML(xmlString){

        xmlString = xmlString.replace(/^\s*|\s(?=\s)|\s*$/g, "");
        xmlString = xmlString.replace(/(&)(?!amp;)/gi, "&amp;");

        try{ 
            xmlDoc=new ActiveXObject("Microsoft.XMLDOM");
            xmlDoc.async="false";
    xmlDoc.loadXML(xmlString);
        }catch(e){
            try{ 
                parser=new DOMParser();
                xmlDoc=parser.parseFromString(xmlString,"text/xml");
            }catch(e){
                alert(e.message);
                return;
            }
        }
        return xmlDoc.documentElement;
    }
DOM XSS攻击的可能性可能位于xmlDoc.loadXML(xmlString)。 有人能帮我清理一下上面的场景,让我满意吗

谢谢

有人能帮我解决这个问题吗?我曾经编辑过你的问题,删除了
javascript
标记。我看到你把它放回去了。这不是一个
javascript
jquery
问题。我怀疑它与
html
也有任何关系。也许如果你停止向它发送垃圾标签,你可能会从那些知道它实际上是关于什么的人那里得到一些帮助。有人能帮我解决这个问题吗?我曾经编辑过你的问题,删除了
javascript
标签。我看到你把它放回去了。这不是一个
javascript
jquery
问题。我怀疑它与
html
也有任何关系。也许如果你停止向它发送垃圾标签,你可能会从那些知道它真正意义的人那里得到一些帮助。