Отчет о сканировании Whitesource и AngularJS 1.4.7

Question

У меня возникает следующая проблема уязвимости:

Angular-1.4.7.min.js
No proper sanitize of xlink:href attribute interoplation, thus vulnerable to Cross-site Scripting (XSS).

 WS-2017-0120 2017-01-20
 angular-1.4.7.min.js Latest Stable Version: 1.7.5 
No proper sanitize of xlink:href attribute interoplation, thus vulnerable to Cross-site Scripting (XSS).
Replace or update the following files: compileSpec.js, compile.js 

Детали:

Ссылка Может кто-нибудь подскажите, пожалуйста, что именно мне нужно делать с предоставленной ссылкой?

Answer 1

Большинство уязвимостей "XSS" в инфраструктуре javascript-клиента - это просто уязвимости обхода защиты XSS, для которых требуется дополнительная начальная точка входа (дающая пользователю явную возможность изменить атрибут \ свойство) или XSS для его фактического использования. Это похоже на еще один из этих случаев, подобных этому: Является ли Bootstrap 3.3.7 безопасным и защищенным, если атрибут data-target не используется?

Answer 2

Либо обновите AngularJS до версии 1.50-beta.1, либо исправьте нужную строку в соответствии с предложением, с которым вы связались.