Javascript 加强（XSS）跨站点脚本的扫描问题：DOM_Javascript_Jquery_Xss_Fortify

Javascript 加强（XSS）跨站点脚本的扫描问题：DOM

javascript jquery

Javascript 加强（XSS）跨站点脚本的扫描问题：DOM,javascript,jquery,xss,fortify,Javascript,Jquery,Xss,Fortify,我发现（XSS）跨站点脚本：DOM的扫描问题非常关键。下面是我的代码。数据是html，我必须按原样显示返回的html内容。我怎样才能解决这个问题 $.get("somelink.html", { id : id, }, function(data) { $("#elementid").html(data);

我发现（XSS）跨站点脚本：DOM的扫描问题非常关键。下面是我的代码。数据是html，我必须按原样显示返回的html内容。我怎样才能解决这个问题

    $.get("somelink.html",
            {
                id : id,
            },
            function(data)
                {
                   $("#elementid").html(data);
                }

我无法对数据进行编码，因为我需要按div中的方式显示返回的内容。如果我遗漏了一些明显的东西，请告诉我

<h2>Heading</h2>
< table> 
<tr><td>Number:</td><td>13256467</td></tr> 
<tr><td>Certificate:</td><td><a href="…">LINK</a></td></tr> 
<tr> <td>Attachments:</td> <td> </td> </tr>
< /table>

标题

电话：13256467
证书：
附件:

我也有同样的问题，$（“#elementid”）.innerHTML=data；工作正常，但在最新的强化扫描更新，它仍然在抱怨。

我看到的唯一解决方案是，使用.textContent，它通过了测试，但在显示响应时我们在HTML上松懈

您是否信任

somelink.html

（例如，它与运行页面的来源相同，并且您没有任何异常的web安全模型）？如果是这样，那就是假阳性。如果没有，您需要在显示HTML之前对其进行清理（这不是特别容易）。@Ry-当您说假阳性时，我是否需要将其与理由和报告进行沟通，或者我们可以让fortify在将来的扫描中忽略此项？我不知道fortify具体如何工作，抱歉。但是，绝对不要关闭负责报告它的规则。是否尝试使用https://而不是http://？还可以尝试使用$.ajax而不是$.get，因为它更易于定制。