JavaScript程式碼漏洞修復：你需要知道的重要步驟

Question

我不是最強大的JS用戶，但我需要它，並為我的網頁編寫了一些在Apache和PHP上工作的程式碼。在我的ajax請求中，我有以下程式碼：

if (dataX['var1'] == '1.1' || dataX['var1'] == '2.1')
{
    window.location.href = '<domain>'
}

如果我使用XSStrike來檢查系統上的潛在漏洞，我會收到可能可以注入的訊息。

有人可以幫我修復嗎？我需要像凍結或其他東西來修復嗎？抱歉，我不知道攻擊者如何使用它。謝謝任何有用的幫助。祝好。

我嘗試了什麼？我嘗試在那個頻道上詢問？ ！

Answer 1

測試。 。

Answer 2

測試。 。 。

Answer 3

如果<domain>可以包含任意不受檢查的字串，那麼如果攻擊者之前成功保存了他們想要的任意字串作為“domain”，他們將獲得訪問您頁面範圍的權限。在這種情況下，他們可以做的事情除了重定向到他們的伺服器外，還是非常可疑的，因為由於頁面更改，<domain>中的程式碼不會被執行。 我不確定一個位置

window.location.href = '';executeSomethingNasty()

或只改變哈希的變化

window.location.href = window.location.href+'#stayonthepage';executeSomethingNasty()

Answer 4

如答