我有下面的js代码
var a = window.location.href.substring(0,window.location.href.lastIndex('/')+1) + "logout.jsp";
setTimeout(function(){
window.location.href = a;
},1000);
当我对上述文件运行强化扫描时,它在上述行中显示动态代码评估存在安全风险:代码注入(inject)。 现在我无法理解如何修复它。我是否需要为 window.href 添加任何编码器或如何解决此问题。 另外,如果我们有 encode ,我需要做什么。
最佳答案
如果我没有理解错的话,你是想获取没有页面名称的url路径,然后你打算重定向到它。
如果这是正确的,你也许可以使用它来工作,
var a = "logout.jsp";
setTimeout(function(){
window.location.href = a;
},1000);
原则上它应该消除该漏洞,但我不确定该工具是否检测到其中的任何其他漏洞。
关于javascript - window.location.href 的安全修复,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46110947/