猿问

我控制结果时正在使用jQuery.html()一个漏洞

所以基本上我有一个ajax调用,它命中了一个返回部分视图并显示数据的方法,我使用jQuery.html()。


我们正在通过Veracode安全工具运行代码,并且正在引发XSS漏洞。


这是jQuery:


 $.ajax({

            url: "ReturnTransNoInformation",

            data: { __RequestVerificationToken: ReturnAntiForgeryToken(), TransNo: $("[data-trans-no]").val() },

            type: "POST",

            beforeSend: function () {

                TransNoInfoAjaxBegin("[data-view-trans-no-container]");

            },

            success: function (data) {

                if (data.Success === false) {

                    if (data.ErrorMessage !== undefined && data.ErrorMessage !== null && data.ErrorMessage !== "") {

                        Error(data.ErrorMessage);

                    }

                    else {

                        Error("Something went wrong while loading the TransNo info, please refresh the page and try again.")

                    }

                    $("[data-transno-partial]").html(null); //Potential XSS

                }

                else {

                    $("[data-transno-partial]").html(data); //Potential XSS

                }

            },

            error: function () {

                Error("Something went wrong while loading the TransNo info, please refresh the page and try again.")

            },

            complete: function () {

                AjaxComplete("[data-view-trans-no-container]");

            }

        });



我的部分视图完全由我控制,部分视图中没有JS。这是一个实际的XSS漏洞吗?


侃侃尔雅
浏览 251回答 1
1回答

繁花如伊

如果您在所显示的代码的控制之下,则否。XSS依靠恶意第三方将代码输入到您的网站中。如果没有第三方可以将输入更改为所需的输入,则您网站上的XSS不会有问题。
随时随地看视频慕课网APP
我要回答