JavaScript,这可以启用反射跨站脚本(XSS)攻击
问题描述 投票:0回答:1
我有这个代码:
const implementation = async (req, res, next) => {
const rut = req.user && req.user.nickname.toUpperCase();
const data = req.body; // ERROR !!!
if (!rut || !data) res.send(400, {message: 'Error al recibir los datos'});
let MetaData = await UserMetadata.findOneAndUpdate({rut}, {emergencyContact: data}, {new: true});
if (!MetaData) res.send(400, {message: 'Ha ocurrido un error'});
return res.send(200, MetaData);
};
Codegate 在第 3 行中给了我一个安全错误:
应用程序的异步在“我的文件”的第 3 行处通过发送将不受信任的数据嵌入到生成的输出中。这些不受信任的数据未经适当的清理或编码就直接嵌入到输出中,从而使攻击者能够将恶意代码注入到输出中。
攻击者只需在用户输入正文中提供修改后的数据即可更改返回的网页,该数据由“我的文件”第 3 行的异步方法读取。然后,该输入直接通过代码流向输出网页,无需进行清理。
这可能会引发反射跨站脚本 (XSS) 攻击。
如何避免这个安全问题?
我尝试过:
const data = JSON.parse(decodeURIComponent(encodeURIComponent(req.body)));
错误随着
encodeURIComponent编辑:现在功能齐全,原来的功能有错误,我必须“编码”或其他东西以避免错误。
预期输出:
1个回答
0
投票
投票
说真的,我不知道为什么,但这有效:
const implementation = async (req, res, next) => {
const rut = req.user && req.user.nickname.toUpperCase();
const data = encodeURIComponent(JSON.stringify(req.body));
if (!rut || !data) res.send(400, {message: 'Error al recibir los datos'});
let MetaData = await UserMetadata.findOneAndUpdate(
{rut}, {emergencyContact: JSON.parse(decodeURIComponent(data))}, {new: true}
);
if (!MetaData) res.send(400, {message: 'Ha ocurrido un error'});
return res.send(200, MetaData);
};
做并恢复两件事(encodeURI 和 stringify)有点愚蠢,但 Codegate 现在不会提醒我错误。我很想知道为什么会出现错误
最新问题
- 如何在python 3.7.x下的anaconda中安装fpdf?
- 如何在gradle中制作.env文件
- 无法使用服务帐户的 gdrive api 将文件上传到 gdrive
- 如何为argparse定义分隔符?
- 如何读取多个 csv 并将它们放入单独的 Pandas 数据框中?
- 我必须在一个循环中编写整个模式,但我无法弄清楚方法或我应该如何开始和开发整个事情
- 参数类型被推断为“never”
- 为什么我无法更改Codesys中的编译器版本?
- Kotlin Gradle 编译错误:不兼容的 Kotlin 版本元数据
- `podman run --replace`对应的docker命令
- 使用 M3 在 Compose 中获取用户位置
- 监听Job异常结束如何处理MQ消息
- 比较对象未返回预期行
- 如何强制 GNU 汇编器发出 `rex.W` 前缀?
- 代码在包含头文件时给我一个错误
- 强制 amd64 rex.W 前缀
- 加入话题失败
- 松散地检查 strpos() 的返回值会产生意想不到的结果
- strpos() == false 计算不正确
- Xamarin BaseExpandableListAdapter 在按钮上的 OnClick 方法中返回错误的视图
© www.soinside.com 2019 - 2024. All rights reserved.