首頁  >  問答  >  主體

JavaScript程式碼漏洞修復:你需要知道的重要步驟

我不是最強大的JS用戶,但我需要它,並為我的網頁編寫了一些在Apache和PHP上工作的程式碼。在我的ajax請求中,我有以下程式碼:

if (dataX['var1'] == '1.1' || dataX['var1'] == '2.1')
{
    window.location.href = '<domain>'
}

如果我使用XSStrike來檢查系統上的潛在漏洞,我會收到可能可以注入的訊息。

有人可以幫我修復嗎?我需要像凍結或其他東西來修復嗎?抱歉,我不知道攻擊者如何使用它。謝謝任何有用的幫助。祝好。

我嘗試了什麼?我嘗試在那個頻道上詢問? !

P粉463418483P粉463418483416 天前733

全部回覆(4)我來回復

  • 尊渡假赌尊渡假赌尊渡假赌

    尊渡假赌尊渡假赌尊渡假赌2023-11-20 17:13:18

    測試。 。

    回覆
    0
  • 尊渡假赌尊渡假赌尊渡假赌

    尊渡假赌尊渡假赌尊渡假赌2023-11-20 17:12:03

    測試。 。 。

    回覆
    0
  • P粉739079318

    P粉7390793182023-09-21 11:34:55

    如果<domain>可以包含任意不受檢查的字串,那麼如果攻擊者之前成功保存了他們想要的任意字串作為“domain”,他們將獲得訪問您頁面範圍的權限。在這種情況下,他們可以做的事情除了重定向到他們的伺服器外,還是非常可疑的,因為由於頁面更改,<domain>中的程式碼不會被執行。 我不確定一個位置

    window.location.href = '';executeSomethingNasty()
    或只改變哈希的變化
    window.location.href = window.location.href+'#stayonthepage';executeSomethingNasty()

    回覆
    0
  • 尊渡假赌尊渡假赌尊渡假赌

    尊渡假赌尊渡假赌尊渡假赌2023-09-21 15:23:17

    如答

    回覆
    1
  • 取消回覆