javascript - window.location.href 的安全修复

标签 javascript security window.location fortify encoder

我有下面的js代码

var a = window.location.href.substring(0,window.location.href.lastIndex('/')+1) + "logout.jsp";

setTimeout(function(){
      window.location.href = a;
},1000);

当我对上述文件运行强化扫描时,它在上述行中显示动态代码评估存在安全风险:代码注入(inject)。 现在我无法理解如何修复它。我是否需要为 window.href 添加任何编码器或如何解决此问题。 另外,如果我们有 encode ,我需要做什么。

最佳答案

如果我没有理解错的话,你是想获取没有页面名称的url路径,然后你打算重定向到它。

如果这是正确的,你也许可以使用它来工作,

var a = "logout.jsp";

setTimeout(function(){
      window.location.href = a;
},1000);

原则上它应该消除该漏洞,但我不确定该工具是否检测到其中的任何其他漏洞。

关于javascript - window.location.href 的安全修复,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46110947/

上一篇:javascript - 从文本中解析坐标

下一篇:javascript - 从 ajax 响应中选择文本并在用户单击项目时显示在输入字段中

相关文章:

javascript 查询字符串 > window.location.search.substring > 使用 # 代替 ?开始查询字符串

javascript - Highcharts 选择事件禁用突出显示效果

javascript - 是否可以在 JavaScript 中获取父类中的元素?

javascript - NEDB node.js 中 SELECT * 的等价物

security - 保护生成的 PDF

javascript - JS 正则表达式 : modify updateQueryString function to handle hash and empty values

javascript - MacOS 上的 Grunt 通知失败

security - 加扰社会安全号码

电子邮件验证/确认的安全性

javascript - window.location.href 在 IE9 下不工作

©2024 IT工具网  联系我们