简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
首页
文章
问答
课程
专题
下载
手游
词典
最近更新

首页  >  问答  >  正文

JavaScript代码漏洞修复:你需要知道的重要步骤

我不是最强大的JS用户,但我需要它,并为我的网页编写了一些在Apache和PHP上工作的代码。在我的ajax请求中,我有以下代码:

if (dataX['var1'] == '1.1' || dataX['var1'] == '2.1')
{
    window.location.href = '<domain>'
}

如果我使用XSStrike来检查系统上的潜在漏洞,我会收到可能可以注入的消息。

有人可以帮我修复吗?我需要像冻结或其他东西来修复吗?抱歉,我不知道攻击者如何使用它。谢谢任何有用的帮助。祝好。

我尝试了什么?我尝试在那个频道上询问?!

P粉463418483P粉463418483395 天前717

全部回复(4)我来回复

  • 尊渡假赌尊渡假赌尊渡假赌

    尊渡假赌尊渡假赌尊渡假赌2023-11-20 17:13:18

    测试。。

    回复
    0
  • 尊渡假赌尊渡假赌尊渡假赌

    尊渡假赌尊渡假赌尊渡假赌2023-11-20 17:12:03

    测试。。。

    回复
    0
  • P粉739079318

    P粉7390793182023-09-21 11:34:55

    如果<domain>可以包含任意不受检查的字符串,那么如果攻击者之前成功保存了他们想要的任意字符串作为“domain”,他们将获得访问您页面范围的权限。在这种情况下,他们可以做的事情除了重定向到他们的服务器外,还是非常可疑的,因为由于页面更改,<domain>中的代码不会被执行。 我不确定一个位置 

    window.location.href = '';executeSomethingNasty()
    或者只改变哈希的变化 
    window.location.href = window.location.href+'#stayonthepage';executeSomethingNasty()

    回复
    0
  • 尊渡假赌尊渡假赌尊渡假赌

    尊渡假赌尊渡假赌尊渡假赌2023-09-21 15:23:17

    如答

    回复
    1
  • 取消回复