Security Bootstrap 3.3.7是否安全可靠；“数据目标”；属性是否未使用？_Security_Twitter Bootstrap 3_Frontend_Xss

Security Bootstrap 3.3.7是否安全可靠；“数据目标”；属性是否未使用？

security twitter-bootstrap-3

Security Bootstrap 3.3.7是否安全可靠；“数据目标”；属性是否未使用？,security,twitter-bootstrap-3,frontend,xss,Security,Twitter Bootstrap 3,Frontend,Xss,关于Bootstrap 3.3.7有一个问题。它说“此软件包的受影响版本容易受到通过数据目标属性的跨站点脚本（XSS）攻击。”我想知道如果不使用“数据目标”属性，v3.3.7是否安全使用。只有当数据目标值依赖于外部事物注入的数据时，才会出现所谓的“漏洞”（直接或间接）并显示在除攻击者以外的其他用户受到影响的页面上换句话说，如果所有数据目标属性都由硬编码html文本构成，则这不是问题。如果此页面仅被攻击者看到（自我攻击…），则通常也不是问题例如，您也可以说jQuery.html（）是一个漏洞，

关于Bootstrap 3.3.7有一个问题。它说“此软件包的受影响版本容易受到通过数据目标属性的跨站点脚本（XSS）攻击。”我想知道如果不使用“数据目标”属性，v3.3.7是否安全使用。

只有当

数据目标

值依赖于外部事物注入的数据时，才会出现所谓的“漏洞”（直接或间接）并显示在除攻击者以外的其他用户受到影响的页面上

换句话说，如果所有

数据目标

属性都由硬编码html文本构成，则这不是问题。如果此页面仅被攻击者看到（自我攻击…），则通常也不是问题

例如，您也可以说jQuery

.html（）

是一个漏洞，这是一个更明显的例子，但是如果您是一个完全的web初学者或者只是没有注意到，那么仍然容易受到XSS的攻击

因此，一般来说，避免在第三方（弹出窗口、工具提示等）或任何直接在幕后操纵DOM的地方注入未经处理的用户数据

我个人不认为这是一个很大的漏洞，但是如果一个著名的框架比如“强”Bootstrap 处理这个案例或者明确地将该方法命名为不安全的来警告开发人员，那就更好了。 Chrome audit认为bootstrap 3.3.x是一个漏洞（）：

包括具有已知安全漏洞的前端JavaScript库

据我所知，它将在3.4中修复，您可以使用3.4-devThanks。我将尝试。3.4.0已发布