我在我的项目中收到一个JavaScript警报，我没有'；不要制造，威胁我？

今天早上我醒来时发现我的一个项目上有一个JavaScript警报，该项目运行jQuery和。它说“我可以在用户的浏览器上运行我选择的任何JavaScript”。我正在下载的唯一第三方JavaScript是，删除它并不会让它消失。我已经搜索了我的JavaScript和供应商JavaScript，但是这个字符串没有找到任何匹配项

---

您将如何对此进行故障排除和/或这是已知会发生的情况？

如果您的应用程序有一个数据库，那将是下一个要检查的地方。我猜有人发现并利用了一个注入漏洞（未净化的HTML输入或SQL），并通过数据库将脚本注入页面

---

最后一个问题是查看ruby代码，看看是否有恶意用户以某种方式修改了您的源代码。

这听起来像是对您网站的黑客企图。检查正在使用的接收用户输入的任何数据库、文本文件等。我猜，这听起来好像你没有检查服务器上发布的内容。

你显然从用户那里获取了一个输入，然后将其作为HTML的一部分输出回来，而无需引用或清理。有两个快速检查要做：

1） 输出此警报的页面的开放源代码，并在源代码内部搜索警报的确切文本-这应该可以清楚地指示哪些用户填写的字段被破坏。 2） 当然，在用户生成的数据库中的所有其他字段（登录名、评论文本等）中搜索单词“script”和“alert”

---

将来：始终清理输入（删除HTML标记）在将其插入HTML页面或转义符号作为实体之前，根据标准或通过将其分配给DOM中文本节点的值来显式地将其视为纯文本。

它不是在JS中而是在DB中：）您没有清理用户的输入数据您是否导入了广告或类似的内容？如果不看一下这个网站，很可能就说不出来了。幸运的是，他们对这个网站很好，可能会让人很担心。我会非常认真地对待这个警告。@Neil这可能是一个随机的用户输入，甚至可能不是sql注入，只是未初始化的html注入。@JayC-在您评论时正在编辑它。由于某种原因，我不知道该怎么称呼这个向量。谢谢。这是一个未初始化的html注入攻击，我使用的是Mongo，它显然不易受到SQL注入的影响。但是是的，净化宝石在清理我的输入方面做得很好，现在我不必担心了。