javascript - 有什么方法可以解决 javascript/jquery 中 veracode 的 appendchild xss 缺陷

问题描述

我有一个函数，我在其中附加一个带有 appendchild 的脚本元素

 setconfig=function(w,d,s){
    var j=d.createElement(s);
    j.src='scripts/init.js';
    j.setAttribute("onload",_scriptonload);
    d.body.appendChild(j);
}

这个 d.body.appendchild 导致 veracode xss 缺陷（网页中与脚本相关的 html 标记的不正确中和）

我尝试了下面的代码，它解决了 veracode 代码缺陷，但在 IE 中不受支持并破坏了功能。

 setconfig=function(w,d,s){
    var j=d.createElement(s);
    j.src='scripts/init.js';
    j.setAttribute("onload",_scriptonload);
    const bodyelem=d.body;
    bodyelem.appendChild(j);
}

有什么方法可以解决这两件事。

标签： javascriptjqueryxss