0
socket.io에 XSS 취약점이 있다고 생각하며이를 해결하는 방법이 궁금합니다.socket.io에 xss 취약점이 있습니까? 어떻게 해결할 수 있을까요?
XSS 구멍이있는 pubsub redis with socket.io에 대한 내 게시물을 참조하십시오. 레디 스-CLI에서
당신이 할 때
publish pubsub "<script>alert('Hello world!');</script>"
당신은 나쁜 입니다 Hello world!와 경고 대화 상자가 표시됩니다 ...
는이 문제를 해결하기 위해 나는 visionmedia의 옥에서 다음 코드를 복사 도서관이라면 충분할까요?
/**
* Escape the given string of `html`.
*
* @param {String} html
* @return {String}
* @api private
*/
function sanitize(html){
return String(html)
.replace(/&(?!\w+;)/g, '&')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/"/g, '"');
}
충분하지 않습니까? 어쩌면 socket.js 내부에서도 문제를 해결할 수 있을까요?
"xss 취약점"은 무엇이라고 생각하십니까? –
이 취약점이있는 다른 주제의 발췌 문장에 대한 내 질문을 업데이트했습니다. – Alfred
신뢰할 수없는 데이터를 그대로 표시하는 것은 XSS 취약점입니다. socket.io에는이 점에 관해서 아무 것도 없습니다. –