如何保护应用程序免受第 3 方 js 库中存在的 XSS 向量的影响？

Posted 2023-02-19

【中文标题】如何保护应用程序免受第 3 方 js 库中存在的 XSS 向量的影响？

【英文标题】：how to secure app against XSS vectors present in 3rd party js libs?

【发布时间】：2013-02-26 13:14:35

【问题描述】：

我在一个 android 移动应用程序中使用各种 3rd 方库，如 cordova.js、jquery、jquery mobile、mobilizer 等。通过不安全地使用 eval、settimeout、这些库被发现具有各种 XSS 向量，内部/外部html等等。

有什么方法可以覆盖/修复这些安全漏洞，并且仍然可以在我的应用程序中安全地使用这些库？

【问题讨论】：

这些是真正的安全漏洞，还是警告您应该通过某种自动化工具更仔细地检查？

@Quentin 我们通过 IBM Appscan 运行该应用程序，在误报之后显示了许多高度严重的 XSS 问题。

这听上去很像“请注意放置不受控制的数据的位置”，而不是实际的安全漏洞。

@ocelot 你确定剩下的不是误报吗？众所周知，AppScan 的结果是垃圾邮件，尤其是默认设置。

【参考方案1】：

这些漏洞应该报告给供应商，你应该使用他们的补丁。

利用 DOM Based XSS 和 android 是可能的，但是攻击向量受到更多限制，因为通常攻击者无法使用简单的 GET 或 POST 请求来利用这些漏洞之一。