Javascript VeraCode-此对name()的调用包含跨站点脚本(XSS)缺陷
有人能解释为什么VeraCode似乎认为使用Javascript VeraCode-此对name()的调用包含跨站点脚本(XSS)缺陷,javascript,security,xss,veracode,Javascript,Security,Xss,Veracode,有人能解释为什么VeraCode似乎认为使用名称作为公共财产是个坏主意,并提出一个好的缓解意见吗 代码(JavaScript): 缺陷: 攻击向量:名称 说明:此对name()的调用包含跨站点脚本(XSS)缺陷。应用程序使用不受信任的消息填充HTTP响应 输入,允许攻击者嵌入恶意内容,例如 Javascript代码,将在受害者的 浏览器XSS漏洞通常被用来窃取或删除 操纵Cookie、修改内容的表示形式和妥协 机密信息,发现新的攻击向量 定期的 在咨询Veracode之后,他们确认这是一个假阴性
名称
作为公共财产是个坏主意,并提出一个好的缓解意见吗
代码(JavaScript):
缺陷:
攻击向量:名称
说明:此对name()的调用包含跨站点脚本(XSS)缺陷。应用程序使用不受信任的消息填充HTTP响应
输入,允许攻击者嵌入恶意内容,例如
Javascript代码,将在受害者的
浏览器XSS漏洞通常被用来窃取或删除
操纵Cookie、修改内容的表示形式和妥协
机密信息,发现新的攻击向量
定期的
在咨询Veracode之后,他们确认这是一个假阴性,并且是他们将调查的引擎中的一个bug 您是否逃过了传入数据(task.name)?在咨询Veracode人员后,他们确认这是一个假阴性,是他们将调查的引擎中的一个错误。请为此创建一个答案,接受自己的答案,谢谢。
var BatchTask = (function () {
function BatchTask(batchOrTask, isBatch) {
if (isBatch) {
...
}
else {
var task = batchOrTask;
this.name = task.name; // flaw identified on this line
}
}
return BatchTask;
}());