安全補丁我有下面的js代碼爲window.location.href
var a = window.location.href.substring(0,window.location.href.lastIndex('/')+1) + "logout.jsp";
setTimeout(function(){
window.location.href = a;
},1000);
當我運行上述文件設防掃描,它顯示與動態代碼評估上述線路存在安全隱患:代碼注入。 現在我無法理解如何解決它。我是否需要爲window.href添加任何編碼器或如何解決此問題。 另外,如果我們有編碼,我需要做什麼。
我真的不知道如何利用它來注入任意代碼,因爲'location.href'是由您的服務器生成的(除非URL的某些部分來自任意用戶輸入)。但是,您的代碼可以減少只是''location.href =「logout.jsp」'它做同樣的事情。 –
@Derek朕會功夫在這種情況下,我也看不出注射是如何發生的。但是有人可以在URL中的'#'之後推送JS,如果處理不當,可能會產生問題。因此,可能該工具每次看到'window.location.href'被操縱時報告誤報。 – Nisarg
您的Javascript代碼是否直接駐留在HTML頁面或單獨的js文件中? –