Javascript 如何针对第三方js库中存在的XSS向量保护应用程序?
我正在android手机应用程序中使用各种第三方LIB,如cordova.js、jquery、jquery mobile、mobilizer等。。通过不安全地使用eval、settimeout、inner/outerhtml等,发现这些lib具有各种XSS向量Javascript 如何针对第三方js库中存在的XSS向量保护应用程序?,javascript,security,libs,Javascript,Security,Libs,我正在android手机应用程序中使用各种第三方LIB,如cordova.js、jquery、jquery mobile、mobilizer等。。通过不安全地使用eval、settimeout、inner/outerhtml等,发现这些lib具有各种XSS向量 有没有什么方法可以让我覆盖/修复这些安全漏洞,并在我的应用程序中安全地使用这些LIB 应该向供应商报告这些漏洞,并且您应该使用他们的补丁 开发和使用android是可能的,然而,攻击向量更为有限,因为攻击者通常无法通过简单的GET或POS
有没有什么方法可以让我覆盖/修复这些安全漏洞,并在我的应用程序中安全地使用这些LIB 应该向供应商报告这些漏洞,并且您应该使用他们的补丁
开发和使用android是可能的,然而,攻击向量更为有限,因为攻击者通常无法通过简单的GET或POST请求利用其中一个漏洞进行攻击。这些是真正的安全漏洞,还是关于您应该通过某种自动化工具更仔细检查的内容的警告?@Quentin我们通过IBM Appscan运行了该应用程序,结果发现误报后显示了许多严重性很高的XSS问题。这听起来很像“只需了解您将无法控制的数据放置在何处”,而不是实际的安全漏洞。@ocelot您确定发回的不是误报吗?AppScan是出了名的垃圾搜索结果,尤其是默认设置。