- MasterDeeJay: Legolcsóbb "x99" gép építése. (folyamatban)
- gban: Ingyen kellene, de tegnapra
- MasterDeeJay: Low budget (50.000 forint) light gémer gép összerakása
- Magga: PLEX: multimédia az egész lakásban
- Luck Dragon: Asszociációs játék. :)
- Nyuszit otthonra, kedvencnek!
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- GoodSpeed: Anker Charger (140W, 4-Port, PD 3.1) laptop, mobil, tablet töltő
- sziku69: Szólánc.
- sziku69: Fűzzük össze a szavakat :)
-
LOGOUT
LOGOUT
Új hozzászólás Aktív témák
-
Ok, értem.
Checkmarx integrates automated software security technologies into DevOps
A probléma, ami most kezdte el csak zavarni a rendszert: DOM-based vulnerabilitiesjsfiddle a kódot most dobtam össze (ne a szerkezetét nézzétek
), illetve a stackoverflow-ról szedtem egy escapeHTML megoldást, próbaképpen...
"data" lesz amit visszakapok, ez lehet ilyen formában, vagy json-ba ágyazva, igazából mindegy, ezért ezt használtam.Most nálam a sima .append van beállítva erre checkmarx ezt mondja nekem: "The application's $.post embeds untrusted data in the generated output with append"
Sajnos legtöbb esetben csak url címre és sima string-re találok megoldást, az én verziómra nem.
Az a hab a tortán, hogy konkrét megoldási lehetőséget sem ajánl fel checkmarx, csak a sebezhetőséget írja le, tehát nem tudom milyen módon tudnám a számára elfogadható megoldást megcsinálni
Bár nem fontos szerintem a program php-s, és a $.post() is egy php-t hív meg, onnan jön vissza az eredmény(data) ide.
Remélem így elég lesz/lehet
-
Sziasztok,
Belefutottam most egy idegesítő "hibába", checkmarx-nál.
Van pár tool, ahol jquery-s $.post() response-át betöltöm egy div-be.
Normál esetben ha csak szöveg jön vissza tettem bele encode-ot , azzal nincs is gond.
A gond ott kezdődik, hogy van olyan, hogy komplett táblázatot vagy form elemeket(select option részét) adom vissza. Ezt viszont bukom minden esetben, ha encode-olom pl.
.html() <- ehhez már encode kellene alapból.
.innerHTML() <- ez jó lenne nekem, de ezt meg checkmarx nem veszi figyelembe.
.append() <- ez is jó lenne nekem, de ezt sem veszi figyelembe a checkmarxVan erre ötlet vagy megoldás?
-
Sajnos jelenleg ez a verzió van, és a support válaszát várom.
De jelenleg nálunk sok, az elődöm által írt tool megy ilyen és hasonló megoldással, tehát az újraírás az elkövetkező időszakban nem opció.
A kérdésem ide azért jött, hogy lehet-e megoldás js/jquery-ben, ha support nem fogja ignorálni a hibát.Egyetlen megoldás lehet, ahogy írtam is: a totális újraírás
-
Ok, értem.
Checkmarx integrates automated software security technologies into DevOps
A probléma, ami most kezdte el csak zavarni a rendszert: DOM-based vulnerabilitiesjsfiddle a kódot most dobtam össze (ne a szerkezetét nézzétek
), illetve a stackoverflow-ról szedtem egy escapeHTML megoldást, próbaképpen...
"data" lesz amit visszakapok, ez lehet ilyen formában, vagy json-ba ágyazva, igazából mindegy, ezért ezt használtam.Most nálam a sima .append van beállítva erre checkmarx ezt mondja nekem: "The application's $.post embeds untrusted data in the generated output with append"
Sajnos legtöbb esetben csak url címre és sima string-re találok megoldást, az én verziómra nem.
Az a hab a tortán, hogy konkrét megoldási lehetőséget sem ajánl fel checkmarx, csak a sebezhetőséget írja le, tehát nem tudom milyen módon tudnám a számára elfogadható megoldást megcsinálniBár nem fontos szerintem a program php-s, és a $.post() is egy php-t hív meg, onnan jön vissza az eredmény(data) ide.
Remélem így elég lesz/lehet
Az a baj, hogy ez nem js kérdés.
Önmagában, amit vizsgálnak valóban tud biztonsági probléma lenni, azaz a hiba jelzésük korrekt.
Bármikor előfordulhat, hogy amit ily módon betöltesz, abban van valami vicces javascript.
Ezt ők nyilván nem is fogják tudni helyetted megoldani. Gondolnám, hogy valahogy lehet azért a checkmarx-ot paraméterezni, hogy mire riasszon be, és mire nem.Szóval a lehetőséeig szerintem az alábbiak:
1. újraírod a programodat, hogy abszolút ne használj ilyen js oldani utólagos kód betöltéseket (pl. mindent server side renderelsz, vagy ezeréves jquery helyett elkezdesz modern frameworköket használni Vuejs/React/Angular)
2. felparaméterezed a checkmarxot / felveszed a supportjukkal a kapcsolatot, hogy ignorálja ezt a biztonsági hibát. -
Sziasztok,
Belefutottam most egy idegesítő "hibába", checkmarx-nál.
Van pár tool, ahol jquery-s $.post() response-át betöltöm egy div-be.
Normál esetben ha csak szöveg jön vissza tettem bele encode-ot , azzal nincs is gond.
A gond ott kezdődik, hogy van olyan, hogy komplett táblázatot vagy form elemeket(select option részét) adom vissza. Ezt viszont bukom minden esetben, ha encode-olom pl.
.html() <- ehhez már encode kellene alapból.
.innerHTML() <- ez jó lenne nekem, de ezt meg checkmarx nem veszi figyelembe.
.append() <- ez is jó lenne nekem, de ezt sem veszi figyelembe a checkmarxVan erre ötlet vagy megoldás?
Szia!
Szólok, hogy nem azért nem válaszolunk, mert nem foglalkozunk a problémáddal, hanem mert nem küldtél példa jsfiddle / codepen kódot, amúgy meg szvsz rajtad kívül senkinek fingja sincs, hogy mi lehet az a checkmarx
), illetve a stackoverflow-ról szedtem egy escapeHTML megoldást, próbaképpen...
Új hozzászólás Aktív témák
- E-book olvasók
- LG LCD és LED TV-k
- Battlefield 6
- MasterDeeJay: Legolcsóbb "x99" gép építése. (folyamatban)
- Samsung Galaxy Watch8 és Watch8 Classic – lelkes hiperaktivitás
- Xbox tulajok OFF topicja
- Nem kell még temetni: 2 éves órajelcsúcsot döntöttek meg Raptor Lake-kel
- Elektromos (hálózati és akkus) kéziszerszámok, tapasztalatok/vásárlás
- Samsung Galaxy Felhasználók OFF topicja
- Hogy is néznek ki a gépeink?
- További aktív témák...
- AKCIÓ! GIGABYTE B360N i5 9600KF 16GB DDR4 512GB SSD GTX 1660 Super 6GB Zalman T3 Plus 400W
- HIBÁTLAN iPhone 14 Pro 128GB Space Black -2 ÉV GARANCIA - Kártyafüggetlen, MS5386
- 1 év garancia, Hp 640 G8 i5-1135G7 16Gb rammal win11-el
- OUTLET DELL PowerEdge R630 rack szerver - 2xE5-2683v4 (32c/64t, 2.1/3.0GHz), 384GB RAM, 4x1G, áfás
- iPhone 13 mini 128GB 100% (1év Garancia) - AKCIÓ
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest