如何修复javascript文件中的XSS漏洞_Javascript_Jquery_Html_Asp.net

如何修复javascript文件中的XSS漏洞

javascript jquery html asp.net

如何修复javascript文件中的XSS漏洞,javascript,jquery,html,asp.net,Javascript,Jquery,Html,Asp.net,我们正在使用fortify扫描asp.net源代码&它抱怨以下错误： dashboard_handler.js中的方法lambda（）将未验证的数据发送到第61行的web浏览器，这可能导致浏览器执行恶意代码。将未验证的数据发送到web浏览器可能导致浏览器执行恶意代码第61行的代码如下：该工具表示第61行的代码将未经验证的数据发送到web浏览器 $el = $("<div class='dashboard-column'><i class='fa fa-caret-right

我们正在使用fortify扫描asp.net源代码&它抱怨以下错误：

dashboard_handler.js中的方法lambda（）将未验证的数据发送到第61行的web浏览器，这可能导致浏览器执行恶意代码。将未验证的数据发送到web浏览器可能导致浏览器执行恶意代码

第61行的代码如下：该工具表示第61行的代码将未经验证的数据发送到web浏览器

$el = $("<div class='dashboard-column'><i class='fa fa-caret-right'></i> <div class='column-title " + items[bucket][itemsNo - 1][1] + "'><span>" + bucket + "</span><i class='fa fa-caret-right caret-right'></i><i class='fa fa-caret-down'></i></div> </div>");

$el=$（“”+bucket+“”）；

有谁能告诉我如何修复此XSS漏洞吗？

如果数据来自用户，并且未正确清理，则

=“

和

”“+bucket+”

都是潜在的XSS攻击向量，因为攻击者可以插入他们想要的任何HTML，包括脚本标记

您可以重写代码，这样它就不会通过连接字符串来构建HTML（这通常是一个坏主意，不仅仅是从安全角度来看）

$el=$（“”）；
$div=$（“”）.addClass（items[bucket][itemsNo-1][1]）.appendTo（$el）；
$span=$（“”）.text（bucket）.appendTo（$div）；
$div.append（“”）；

嗯，没有，因为您没有给出上下文。没有。没有人会告诉你如何修复，如果没有正确的输入，这是工具中提供的摘要：dashboard_handler.js中的lambda（）方法将未验证的数据发送到第61行的web浏览器，这可能导致浏览器执行恶意代码。向web浏览器发送未经验证的数据可能导致浏览器执行恶意代码。此外，使用的代码为：$cat=$（“”+nameCateg[0]+“”）$el.append（$cat）；谢谢@JJJ。。这起作用了。但同样，我试图申请下面的代码，但没有成功。。对于同样的问题，你能在以下方面帮助我吗$cat=$（“”+nameCateg[0]+“”）；

$el = $("<div class='dashboard-column'><i class='fa fa-caret-right'></i></div>");
$div = $("<div class='column-title'>").addClass( items[bucket][itemsNo - 1][1] ).appendTo( $el );
$span = $("<span>").text(bucket).appendTo($div);
$div.append("<i class='fa fa-caret-right caret-right'></i><i class='fa fa-caret-down'></i>");