在使用 jQuery 的前端應用程式中,我有一個像這樣的過度簡化的程式碼(包括行號):
...
129: var buttonId = $('some-element').closest('...').siblings('...').attr('id');
130: $('#' + buttonId).focus();
...
在 checkmarx 中我收到此錯誤:
應用程式的 {method_name} 在 {file_name} 第 130 行使用 $ 將不受信任的資料嵌入到產生的輸出中。這些不受信任的資料未經適當的清理或編碼就直接嵌入到輸出中,使攻擊者能夠將惡意程式碼注入輸出中。
那麼 - 我應該在這裡做什麼? ....因為這個 ID 屬性只是一個 ID,你知道...所以我不知道應該對其執行什麼清理或編碼。
我剛剛遇到了類似的問題。
嘗試替換:
$('#' + buttonId).focus();與:
jQuery('#' + buttonId).focus();不知何故,對於這種情況,掃描器不知道變數
$與jQuery變數相同。嘗試;o)