如何缓解Checkmarx扫描检测到的客户端动态文件包含漏洞?

How to mitigate against Client Dynamic File Inclusion vulnerability detected by Checkmarx scan?

提问人:aftoru 提问时间:5/29/2023 更新时间:10/3/2023 访问量:538

问:

目前,我正在尝试修复Checkmarx扫描检测到的高级漏洞。checkmarx的警告如下:The application loads an external library or source code file using append, at line 69 of data\hr\request.html. An attacker might be able to exploit this and cause the application to load arbitrary code. Similarity ID: 456454008

这是一段代码

function save() {
var subject = decodeURI(encodeURI(document.getElementById("subject").value));
                    try {
                      var form_data = new FormData(); 
                      form_data.append("file", file_data)
                      form_data.append("type_", type_) 
                      form_data.append("subject", subject) 
}

我的问题是,如何缓解checkmarx上的客户端动态文件包含? 简单地清理 DOM 对象就足够了吗?

我尝试使用DOMPurify,并期望更改将通过Checkmarx扫描...

Checkmarx版本:V 9.5.4.1000 HF7

攻击途径: 值>编码>解码>主题>追加> FormData

JavaScript HTML 安全 CheckMARX

评论

2赞 Reis 10/3/2023
您好,您找到解决方案了吗?我也看到这个问题为我提出
1赞 aftoru 10/16/2023
嗨,@Reis,我做到了,我没有使用form_data追加,而是更改了我的函数以填充 json 对象中的数据。不知何故,checkmarx不喜欢使用form_data append
0赞 norca 11/16/2023
您能给出解决方案的代码示例@aftoru吗?您还可以为问题添加答案

答: 暂无答案

上一个:使用 html 和 javascript 如何实现 Google Cloud ApiKey 注册 Daabase

下一个:本地 HTML 目录中静态链接在无服务器的浏览器中显示本地文档的符合标准的方法