Проблема Client_Potential_XSS обнаружена в DOMPurify с помощью Checkmarx

Проблема Client_Potential_XSS обнаружена в DOMPurify с помощью Checkmarx ⇐ Javascript

1 сообщение • Страница 1 из 1

Anonymous

Проблема Client_Potential_XSS обнаружена в DOMPurify с помощью Checkmarx

Цитата

Сообщение Anonymous » 06 янв 2025, 11:44

Недавно я использовал DOMPurify в своем проекте для очистки пользовательского ввода и предотвращения XSS-атак.
Однако после запуска сканирования исходного кода с помощью Checkmarx , я столкнулся с проблемой, обозначенной как Client_Potential_XSS.
По всей видимости, эта уязвимость исходит из строки 866 DOMPurify v3.2.3, где Используется element.insertBefore.
Строка 866

Код: Выделить всё

return element instanceof HTMLFormElement && (/*some code*/ || typeof element.insertBefore !== 'function' || /*some code*/);

Я предполагаю, что Checkmarx рассматривает эту строку кода как метод InsertBefore(). Кто-нибудь знает, как решить эту проблему?

Подробнее здесь: https://stackoverflow.com/questions/793 ... -checkmarx

1736153090

Anonymous

Недавно я использовал [b]DOMPurify[/b] в своем проекте для очистки пользовательского ввода и предотвращения XSS-атак.
Однако после запуска сканирования исходного кода с помощью [b]Checkmarx [/b], я столкнулся с проблемой, обозначенной как Client_Potential_XSS.
По всей видимости, эта уязвимость исходит из строки 866 DOMPurify v3.2.3, где Используется [b]element.insertBefore[/b].
[b]Строка 866[/b]
[code]return element instanceof HTMLFormElement && (/*some code*/ || typeof element.insertBefore !== 'function' || /*some code*/);
[/code]
Я предполагаю, что Checkmarx рассматривает эту строку кода как метод InsertBefore(). Кто-нибудь знает, как решить эту проблему?
 

Подробнее здесь: [url]https://stackoverflow.com/questions/79332504/client-potential-xss-issue-detected-in-dompurify-by-checkmarx[/url]