Устранить проблему сканирования с index.html в угловых

Question

Мое приложение использует угловой интерфейс с ядром aspnet и сканированием fortify, поднявшим проблему безопасности в index.html. Одной из проблем является эта строка.

document.write ('base href = "' = + document.location + '" />');

Насколько я понимаю, это приложение, состоящее из одной страницы, служит базовым контейнером, в который загружаются другие компоненты, скриптыТак как мне решить проблему? Разве это не должен быть угловой SPA? Во-вторых, сканирование также показывает несколько строк как уязвимости. Это были бы и затем аналогично main.gh9787998886.bundle.js и т. Д.

Как я могу это исправить? Это ложные срабатывания?

Answer 1

Fortify часто показывает ложные срабатывания (я думаю, чтобы не забыть ничего). Например, если есть некоторый код javascript, такой как ключ = «что-то», то подкрепите утверждения об этом сообщением, например, «жестко закодированный ключ шифрования». У меня это было несколько раз в пакетах, где сторонние компоненты, такие как Kendo UI, делают подобные вещи. В Fortify вы можете пометить их в статусе разработчика как «сторонний компонент» и позволить им исчезать как скрытые проблемы. Fortify помнит, что для следующей проверки кода, так что вы просто должны сделать это один раз.

document.write('base href="'=+ document.location+'"/>');

Я думаю, что это не ложный положительный результат. Я бы порекомендовал заменить это на

  <base href=".">

. В случае, если вы используете это для покрытия различных развертываний, вам лучше использовать опцию --baseHref для команды build.