安全补丁我有下面的js代码为window.location.href
var a = window.location.href.substring(0,window.location.href.lastIndex('/')+1) + "logout.jsp";
setTimeout(function(){
window.location.href = a;
},1000);
当我运行上述文件设防扫描,它显示与动态代码评估上述线路存在安全隐患:代码注入。 现在我无法理解如何解决它。我是否需要为window.href添加任何编码器或如何解决此问题。 另外,如果我们有编码,我需要做什么。
我真的不知道如何利用它来注入任意代码,因为'location.href'是由您的服务器生成的(除非URL的某些部分来自任意用户输入)。但是,您的代码可以减少只是''location.href =“logout.jsp”'它做同样的事情。 –
@Derek朕会功夫在这种情况下,我也看不出注射是如何发生的。但是有人可以在URL中的'#'之后推送JS,如果处理不当,可能会产生问题。因此,可能该工具每次看到'window.location.href'被操纵时报告误报。 – Nisarg
您的Javascript代码是否直接驻留在HTML页面或单独的js文件中? –