javascript - 使用角度增强 index.html 的扫描问题
问题描述
我的应用程序使用带有 aspnet 核心的角度前端,并且强化扫描在 index.html 上引发了安全问题。一个问题是这条线。
document.write('base href="'=+ document.location+'"/>');我的理解是这是一个单页应用程序,为我们提供了加载其他组件和脚本的基础容器。那么我该如何解决这个问题呢?这不就是一个有角度的SPA吗?其次,扫描还将多行显示为漏洞。那些将是然后类似地 main.gh9787998886.bundle.js 等。
我怎样才能解决这个问题?这些是误报吗?
解决方案
Fortify 经常显示误报(我认为一定不要忘记任何事情)。例如,如果有一些像 key = 'something' 这样的 javascript 代码,则使用像“硬编码加密密钥”这样的消息来强化声明。我在 Kendo UI 等第三方组件执行类似操作的捆绑包中多次遇到这种情况。在 Fortify 中,您可以将它们在开发者状态中标记为“第三方组件”,并让它们作为被抑制的问题消失。Fortify 会记住下一次代码检查,因此您只需执行一次。
document.write('base href="'=+ document.location+'"/>');
我认为这不是误报。我建议将其替换为
<base href=".">
对于您使用它来涵盖不同部署的情况,您应该更好地使用 --baseHref 选项来构建命令。
推荐阅读
- regex - 是否可以使用正则表达式从每个两位数中获取最后一位数字?
- rest - 如何在 REST API URI 地址中进行版本控制?
- xamarin.forms - Xamarin 形成 callkit 集成
- sql-server - 将查询结果插入临时表
- html - 如何在单击时显示特定标签并隐藏 div 中存在的另一个标签?
- android - Android 架构组件
- php - ( laravel - Php ) 我想要一个显示数据库中总用户数的代码
- spring - @RefreshScope 副作用 - 自动配置、自动连接
- angular - 在角度日历视图中获取日期范围
- oracle - 忽略空间的Oracle唯一约束和唯一索引