Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/402.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript VeraCode-此对name()的调用包含跨站点脚本(XSS)缺陷_Javascript_Security_Xss_Veracode - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript VeraCode-此对name()的调用包含跨站点脚本(XSS)缺陷

Javascript VeraCode-此对name()的调用包含跨站点脚本(XSS)缺陷

javascript security

Javascript VeraCode-此对name()的调用包含跨站点脚本(XSS)缺陷,javascript,security,xss,veracode,Javascript,Security,Xss,Veracode,有人能解释为什么VeraCode似乎认为使用名称作为公共财产是个坏主意,并提出一个好的缓解意见吗 代码(JavaScript): 缺陷: 攻击向量:名称 说明:此对name()的调用包含跨站点脚本(XSS)缺陷。应用程序使用不受信任的消息填充HTTP响应 输入,允许攻击者嵌入恶意内容,例如 Javascript代码,将在受害者的 浏览器XSS漏洞通常被用来窃取或删除 操纵Cookie、修改内容的表示形式和妥协 机密信息,发现新的攻击向量 定期的 在咨询Veracode之后,他们确认这是一个假阴性

有人能解释为什么VeraCode似乎认为使用
名称
作为公共财产是个坏主意,并提出一个好的缓解意见吗

代码(JavaScript):

缺陷:

攻击向量:名称

说明:此对name()的调用包含跨站点脚本(XSS)缺陷。应用程序使用不受信任的消息填充HTTP响应 输入,允许攻击者嵌入恶意内容,例如 Javascript代码,将在受害者的 浏览器XSS漏洞通常被用来窃取或删除 操纵Cookie、修改内容的表示形式和妥协 机密信息,发现新的攻击向量 定期的

在咨询Veracode之后,他们确认这是一个假阴性,并且是他们将调查的引擎中的一个bug

您是否逃过了传入数据(task.name)?在咨询Veracode人员后,他们确认这是一个假阴性,是他们将调查的引擎中的一个错误。请为此创建一个答案,接受自己的答案,谢谢。 
var BatchTask = (function () {
    function BatchTask(batchOrTask, isBatch) {    
        if (isBatch) {
            ...
        }
        else {
            var task = batchOrTask;
            this.name = task.name; // flaw identified on this line
        }
    }
    return BatchTask;
}());