У меня есть страница, отсканированная IBM AppScan, она сообщает о 2 возможных проблемах XSS на основе DOM. Но после долгого анализа и поиска Google я не мог понять, в чем риск кода. Не могли бы вы помочь мне определить проблему?puzzel на основе DSS на основе DOM
window.location = window.location.href + '&a=b' // составить новый URL и перенаправлятьvar width = $(window).width(); // $ является JQueryРамки JQuery склонен к DOM на основе XSS, потому что многие функции JQuery/методы фактически интерпретируют JavaScript передается в строке. Ваш код в строке 2 может быть уязвим для XSS, если «окно» было строкой. Если окно не является строкой, это должно быть безопасным.
Ваш код в строке 1 читает window.location.href, который может содержать введенный JS-код. Возможно, это испорченные данные могут привести к XSS, если они были интерпретированы или добавлены в DOM, что, по-видимому, не имеет места здесь.