如何修復 checkmarx 錯誤'...不受信任的數據直接嵌入到輸出中...”

Question

在使用 jQuery 的前端應用程式中，我有一個像這樣的過度簡化的程式碼（包括行號）：

...
129: var buttonId = $('some-element').closest('...').siblings('...').attr('id');
130: $('#' + buttonId).focus();
...

在 checkmarx 中我收到此錯誤：

應用程式的 {method_name} 在 {file_name} 第 130 行使用 $ 將不受信任的資料嵌入到產生的輸出中。這些不受信任的資料未經適當的清理或編碼就直接嵌入到輸出中，使攻擊者能夠將惡意程式碼注入輸出中。

那麼 - 我應該在這裡做什麼？ ....因為這個 ID 屬性只是一個 ID，你知道...所以我不知道應該對其執行什麼清理或編碼。

Answer 1

我剛剛遇到了類似的問題。

嘗試替換：

$('#' + buttonId).focus();

與：

jQuery('#' + buttonId).focus();

不知何故，對於這種情況，掃描器不知道變數 $ 與 jQuery 變數相同。

嘗試;o)