Keresés: - JavaScript topic - Mobilarena Hozzászólások

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2014-02-25 10:20

Mobilarena

JavaScript != Java (A JavaScript nem összekeverendő a Javával, két különböző programozási nyelvről van szó!)

Új hozzászólás Aktív témák

#9059 sztanozs veterán lafaty80 #9043

Új Válasz 2021-12-27 10:45:12 #9059
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sztanozs

veterán

válasz lafaty80 #9043 üzenetére

Ez egy komoly biztonsági hibalehetőség egyébként, ha a forrás nem ellenőrzött (illetve a csatorna nem biztonságos), akkor bármilyen rosszindulatú tartalom beinjektálható így.
Vélelmezem, hogy
- a rendszerben valahogy meg lehet adni a trusted source-okat és utána nem sivít emiatt;
- a rendszer csak titkosított forrást (https, érvényes certificate-tel) fogad el trusted sourfce-nak.
#9047 nevemfel senior tag lafaty80 #9041

Új Válasz 2021-12-18 20:34:11 #9047
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

nevemfel

senior tag

válasz lafaty80 #9041 üzenetére

.innerHTML() <- ez jó lenne nekem, de ezt meg checkmarx nem veszi figyelembe.
Ez mit jelent, hogy "nem veszi figyelembe"?
innerHTML propertyvel tudsz beágyazni html-t anélkül, hogy escapelni kellene, és a böngésző nem fogja végrehajtani a beágyazott scripteket.
#9046 martonx veterán lafaty80 #9045

Új Válasz 2021-12-18 20:01:44 #9046
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

martonx

veterán

válasz lafaty80 #9045 üzenetére

Egyetlen megoldás lehet, ahogy írtam is: a totális újraírás
#9044 martonx veterán lafaty80 #9043

Új Válasz 2021-12-18 18:02:15 #9044
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

martonx

veterán

válasz lafaty80 #9043 üzenetére

Az a baj, hogy ez nem js kérdés.
Önmagában, amit vizsgálnak valóban tud biztonsági probléma lenni, azaz a hiba jelzésük korrekt.
Bármikor előfordulhat, hogy amit ily módon betöltesz, abban van valami vicces javascript.
Ezt ők nyilván nem is fogják tudni helyetted megoldani. Gondolnám, hogy valahogy lehet azért a checkmarx-ot paraméterezni, hogy mire riasszon be, és mire nem.
Szóval a lehetőséeig szerintem az alábbiak:
1. újraírod a programodat, hogy abszolút ne használj ilyen js oldani utólagos kód betöltéseket (pl. mindent server side renderelsz, vagy ezeréves jquery helyett elkezdesz modern frameworköket használni Vuejs/React/Angular)
2. felparaméterezed a checkmarxot / felveszed a supportjukkal a kapcsolatot, hogy ignorálja ezt a biztonsági hibát.
#9042 martonx veterán lafaty80 #9041

Új Válasz 2021-12-17 20:36:19 #9042
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

martonx

veterán

válasz lafaty80 #9041 üzenetére

Szia!
Szólok, hogy nem azért nem válaszolunk, mert nem foglalkozunk a problémáddal, hanem mert nem küldtél példa jsfiddle / codepen kódot, amúgy meg szvsz rajtad kívül senkinek fingja sincs, hogy mi lehet az a checkmarx