Question

Я написал пользовательскую проверку в SonarJS для обнаружения постоянных уязвимостей межсайтового скриптинга в javascript.Однако я получил много ложных срабатываний и пытаюсь улучшить код.

У меня есть два вопроса:

Поддерживает ли SonarJS анализ потока данных?Например, отслеживание некоторого значения происходит из ответа Ajax и, наконец, печатается в HTML (например, innerHtml).
Есть ли у нас какой-либо синтаксический анализатор в плагине SonarJS для анализа "+"оператор?Например, получить часть this.name из выражения '<input value="' + this.name + '">'.

С уважением!Джек Яо

Elena Vilchik · Answer 1 · 11 мая 2018

В SonarJS есть анализ потока данных, но он не должен использоваться в пользовательских правилах и не ориентирован на то, что вам нужно
В SonarJS есть только один анализатор, инасколько я знаю, он разбирает оператор "+"

Вопросы относительно написания пользовательских правил с SonarJS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Вопросы относительно написания пользовательских правил с SonarJS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы