Javascript选项卡在HP fortify扫描中导致严重错误(XSS)
我有一个javascript选项卡库,我一直在使用它,它一直都很好,但是随着我们最近对Fortify的升级,代码的window.location部分出现了一个严重错误(编辑,应该在修改之前提到这是原始代码): 我们的第一次修改是:Javascript选项卡在HP fortify扫描中导致严重错误(XSS),javascript,xss,fortify,Javascript,Xss,Fortify,我有一个javascript选项卡库,我一直在使用它,它一直都很好,但是随着我们最近对Fortify的升级,代码的window.location部分出现了一个严重错误(编辑,应该在修改之前提到这是原始代码): 我们的第一次修改是: var b = (escape(window.location.href.toString())); 失败后,我们发现并尝试了以下操作: var b = (encodeID(window.location.href.toString())); function e
var b = (escape(window.location.href.toString()));
var b = (encodeID(window.location.href.toString()));
function encodeID(s) {
if (s==='') return '_';
return s.replace(/[^a-zA-Z0-9.-]/g, function(match) {
return '_'+match[0].charCodeAt(0).toString(16)+'_';
});
}
var b=encodeURIComponent(window.location.href);
有人想让它通过吗?@Carlos Mendieta我同意你的看法。我认为Fortify在这里错误地报告了一个问题。您没有为window.location.href分配值,您只是在变量中设置值。有一个关于安全堆栈交换的讨论本质上也是这样。我想知道您是否可以调整Fortify以不报告此项目。看看我今天读到的内容,但我想我不明白。它说选择1是安全的。库中的原始代码有var b=window.location.href;这应该是安全的,但也很关键。我没有指定它要去的地址,除了用户单击选项卡之外,他们没有其他输入选项。我知道有人可以从窗口复制地址,然后使用传递的参数来做坏事;然而,我不知道如何修复它。我以上的所有尝试都遇到了严重错误。感谢您的支持。我来看看那个网站。我希望我们可以调整加强自己,但不幸的是,我们没有运行该服务器和那些家伙。。啊。再次感谢。
var b=encodeURIComponent(window.location.href);