如果未使用 "data-target" 属性,Bootstrap 3.3.7 是否安全可靠?
Is Bootstrap 3.3.7 safe and secured if "data-target" attribute is unused?
security vulnerability 关于 Bootstrap 3.3.7。它说 "Affected versions of this package are vulnerable to Cross-Site Scripting (XSS) attacks via the data-target attribute." 我想知道如果不使用 "data-target" 属性,v3.3.7 是否可以安全使用。
所谓的“漏洞”只有在 data-target 值依赖于外部(直接或间接)注入的数据并且显示在页面上时才会出现攻击者以外的其他用户也会受到影响。
换句话说,如果您的所有 data-target 属性都是由硬编码的 html 文本构成的,则这不是问题。如果这个页面只被攻击者看到(self-hack ...),通常也不是问题。
例如你也可以说 jQuery .html() 是一个漏洞,这是一个更明显的案例,但如果你是一个网络初学者或者只是没有注意,仍然容易受到 XSS 攻击.
因此,一般来说,避免在第三方中注入未转义的用户数据:弹出窗口、工具提示...或任何 DOM 直接在幕后操作的内容。
我个人不认为这是一个大漏洞,但如果像 bootstrap 这样的著名框架处理这种情况或明确将该方法命名为不安全的,那就更好了警告开发人员。
Chrome 审核认为 bootstrap 3.3.x 一个漏洞 (via synk):
Includes front-end JavaScript libraries with known security vulnerabilities
security vulnerability 关于 Bootstrap 3.3.7。它说 "Affected versions of this package are vulnerable to Cross-Site Scripting (XSS) attacks via the data-target attribute." 我想知道如果不使用 "data-target" 属性,v3.3.7 是否可以安全使用。
所谓的“漏洞”只有在 data-target 值依赖于外部(直接或间接)注入的数据并且显示在页面上时才会出现攻击者以外的其他用户也会受到影响。
换句话说,如果您的所有 data-target 属性都是由硬编码的 html 文本构成的,则这不是问题。如果这个页面只被攻击者看到(self-hack ...),通常也不是问题。
例如你也可以说 jQuery .html() 是一个漏洞,这是一个更明显的案例,但如果你是一个网络初学者或者只是没有注意,仍然容易受到 XSS 攻击.
因此,一般来说,避免在第三方中注入未转义的用户数据:弹出窗口、工具提示...或任何 DOM 直接在幕后操作的内容。
我个人不认为这是一个大漏洞,但如果像 bootstrap 这样的著名框架处理这种情况或明确将该方法命名为不安全的,那就更好了警告开发人员。
Chrome 审核认为 bootstrap 3.3.x 一个漏洞 (via synk):
Includes front-end JavaScript libraries with known security vulnerabilities