复制步骤
此跨站脚本 (XSS) 漏洞存在于 AngularJS 的所有公开版本中。它只存在于 Internet Explorer 浏览器中,因为该浏览器在处理文本区域时存在页面缓存错误。恶意行为者可以插入浏览器会执行的危险代码,从而访问数据或脚本功能(攻击者欺骗应用程序或网站接受请求,就好像请求来自可信来源一样)。StackBlitz 上提供了演示此漏洞的概念验证。
解决问题
在使用所有公开的 AngularJS 版本时,Internet Explorer 浏览器用户都是这一潜在漏洞的载体。开发人员可以修改代码(见下文)以防止此类攻击,但仍应升级到已修复的版本库。
学习与预防
In general, XSS exploits are best avoided by escaping content that isn’t from a trusted source. Escaping can be done by libraries that specialize in this function. Using HTML for an example, they will take a < and > code them as < and >. Performing this transformation prevents code from being executed in locations where it can cause harm.
结论
1.9.0 版发布后,HeroDevs 客户已收到立即升级的通知。如果您希望获得 HeroDevs 永无止境的支持服务,请立即联系我们的销售团队。
资源
每当我们支持的开源软件修复了新的漏洞,我们就会发出警报。