Javascript 修复windows.location.hostname的XSS问题
目前,我正在使用以下代码重新路由到外部URL:Javascript 修复windows.location.hostname的XSS问题,javascript,reactjs,dom,xss,Javascript,Reactjs,Dom,Xss,目前,我正在使用以下代码重新路由到外部URL: <Route exact path={`${rootUrl}/www/test`} component={() => { window.location = `https://${window.location.hostname}/www/someURL?fixing=true`; return null; }} /> {window.location=`https://${window.location.hostname}/w
<Route exact path={`${rootUrl}/www/test`} component={() => { window.location = `https://${window.location.hostname}/www/someURL?fixing=true`; return null; }} />
{window.location=`https://${window.location.hostname}/www/someURL?fixing=true`;返回null;}}/>
但是上面这一行导致了XSS在测试中的漏洞。如何解决此问题?我应该对它进行编码吗?为什么您认为它容易受到XSS攻击?它可能容易受到开放重定向的攻击,但可利用性仍然取决于外部因素,我认为这不容易受到XSS的攻击。这是否来自某个SAST工具?在FOD扫描测试中作为跨站点脚本问题出现。我认为这对于XSS来说肯定是误报,如果服务器配置正确,那么对于开放重定向来说也是误报。(我的意思是,开放重定向甚至没有被提及,所以从技术上讲,它本身并不是一个误报:)但这是一个逻辑思想,并且是由于从用户输入重定向到域而在上面的代码中存在的一个潜在漏洞)。