Wal*_*ali 4 security xss frontend twitter-bootstrap-3
Bootstrap 3.3.7存在一个安全漏洞。它表示“该软件包的受影响版本很容易通过数据目标属性受到跨站点脚本(XSS)攻击。” 我想知道如果不使用“data-target”属性,v3.3.7 是否可以安全使用。
仅当该值依赖于外部(直接或间接)注入的数据并且显示在攻击者以外的其他用户受到影响的页面上时,才会出现所谓的“漏洞” 。data-target
换句话说,如果您的所有data-target属性都是由硬编码的 html 文本组成,那么这不是问题。如果此页面仅被攻击者看到(自我黑客攻击......),通常也不是问题。
例如,你也可以说 jQuery.html()是一个漏洞,这是一个更明显的例子,但如果你是一个完全的 Web 初学者或者只是没有注意,仍然容易受到 XSS 的影响。
因此,一般来说,避免在第三方中注入未转义的用户数据:弹出窗口、工具提示……或在幕后直接操作 DOM 的任何内容。
我个人并不认为这是一个大漏洞,但如果有像bootstrap这样的著名框架就更好了这样的著名框架能够处理这种情况或明确将该方法命名为不安全以警告开发人员,那就更好了。
Chrome 审核考虑 bootstrap 3.3.xa 漏洞(通过 synk):
包括具有已知安全漏洞的前端 JavaScript 库