Ответ AJAX ответ HTML ответ (XSS Veracode) - PullRequest
Новая
       12

Ответ AJAX ответ HTML ответ (XSS Veracode)

0 голосов
/ 10 мая 2019 
function viewAcc() {
    var errorMsg = "";
    var result = true;
    $(".errorView").hide();
    var accNum = document.getElementById('custAccNum').value;
    var accType = document.getElementById('custAccType').value;
    $("#overlayPopup").show();
    $.ajax({
        url : '<attribute:resourceURL/>',
        data : {
            "custNo" : accNum ,
            "custType" : accType 
        },
        success : function(data) {
            if (data == 'CUS_ACC') {
                window.location = "/cust/account/c";
            } else {
                $("#overlayPopup").hide();
                //display warning
                $(".errorView").show();
                $(".errorView").html(data); // <--- XSS line
                e.preventDefault();
            }
        },
        cache : false,
        dataType : 'text',
        error : function(error, textStatus, errorThrown) {
            alert('error in ajax call: ' + textStatus);
            console.log('error in ajax call: ' + textStatus);
            window.location = "/cust/account/c/lookup";
        },
        timeout : ajaxTimeOutMilliSeconds
    });

}

Итак, веракод говорит, что у меня проблема с $(".errorView").html(data); Как мне это исправить?Если я просто сделаю это в тексте, это покажет на клиенте как с html?

Ответы [ 2 ]

1 голос
/ 10 мая 2019

Вы можете просто использовать .text() вместо .html(). Если у вас нет разметки, поступающей с сервера, то это вполне приемлемая альтернатива, поскольку .text() предотвратит интерпретацию содержимого как HTML

. 

//doing sc+ript is only needed here because Stack Snippets otherwise throws an error.
var msg = "This is <b>a message</b> with <script>console.log('some code')</sc"+"ript>";
$("#msgHtml").html(msg);
$("#msgText").text(msg);
<script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.3.1/jquery.min.js"></script>

<h3>Message via .html():</h3>
<div id="msgHtml"></div>

<h3>Message via .text():</h3>
<div id="msgText"></div>
0 голосов
/ 10 мая 2019

Не доверяйте слепо инструментам, которые утверждают, что вы уязвимы для XSS.

Вы рискуете XSS только в том случае, если значение data не заслуживает доверия.Так как он поступает с вашего собственного сервера, вы должны уже очистить данные для проблем XSS, прежде чем отправлять их в ответ на запрос Ajax.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...