window.opener.location.href |Фортифицируйте скан ложных срабатываний

Question

Я использую приведенный ниже код javascript на веб-странице, который был обнаружен как уязвимость системы безопасности (Insecure Interaction CWE ID 079) при сканировании с использованием фортификационного анализа.

Я считаю, что это ложноположительный результат.Не могли бы вы подтвердить, если это ложный положительный результат с подробным объяснением

function reloadParentAndClose()
{
window.opener.location.href = window.opener.location.href
window.close
 }

Answer 1

Я думаю, что это помечено, потому что установка window.opener.location.href из небезопасного источника может привести к открытому перенаправлению или аналогичной уязвимости.И в то же время, window.opener.location.href технически является пользовательским вводом и, как таковой, небезопасным с точки зрения сканера.:)

Так что да, я думаю, что это ложный положительный результат.Но нет ли более простого способа перезагрузить родитель?:) Я не такой гуру Javascript, но, может быть, window.opener.location.reload()?

Еще одна вещь, которая приходит на ум, это то, что вы могли бы потенциально перемещаться по родительскому окну, даже если там уже есть что-то еще - но я думаю, что этоэто проблема браузера, не должно быть возможности перезагрузить или перейти по нему, если пользователь уже ушел.