Bootstrap 3.3.7存在一个安全漏洞,它表示:"受影响的版本容易受到跨站脚本(XSS)攻击,通过data-target属性进行攻击。" 如果不使用"data-target"属性,那么v3.3.7是否安全可靠呢?
如果未使用"data-target"属性,Bootstrap 3.3.7是否安全可靠?
4
- Wali
3
据我所知,这个问题将在3.4版本中得到解决,您可以使用3.4-dev版本。具体信息请参见https://github.com/twbs/bootstrap/issues/25679#issuecomment-420199818。 - davidkonrad
谢谢。我会尝试的。 - Wali
3.4.0 版本已发布。https://blog.getbootstrap.com/2018/12/13/bootstrap-3-4-0/ - J-C FOREST
1个回答
5
所谓“漏洞”只会在
换句话说,如果所有的
例如,您还可以说jQuery
因此,一般情况下,避免在第三方中注入未转义的用户数据:弹出窗口、工具提示等任何直接在幕后操纵DOM的东西。
我个人认为这不是一个很大的漏洞,但如果像bootstrap这样的著名框架处理这种情况或明确将方法命名为不安全以警告开发人员,则更好。
Chrome审核认为bootstrap 3.3.x是一个漏洞(via synk)。
data-target值依赖于由外部注入的数据(直接或间接)并且在其他用户受到影响的页面上显示时才会出现。换句话说,如果所有的
data-target属性都是由硬编码的html文本组成,则这不是一个问题。如果此页面仅被攻击者看到(自我黑客...),通常也不是问题。例如,您还可以说jQuery
.html()是一种漏洞,这是一个更明显的案例,但如果您是完全的网络初学者或没有注意,它仍然容易受到XSS攻击。因此,一般情况下,避免在第三方中注入未转义的用户数据:弹出窗口、工具提示等任何直接在幕后操纵DOM的东西。
我个人认为这不是一个很大的漏洞,但如果像bootstrap这样的著名框架处理这种情况或明确将方法命名为不安全以警告开发人员,则更好。
Chrome审核认为bootstrap 3.3.x是一个漏洞(via synk)。
包含已知安全漏洞的前端JavaScript库
- Christophe Roussy
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 12 Python: PyPi公共模块:如何确定是否安全可靠?
- 5 DataTables在Bootstrap 3.3.7应用程序中使用ajax数据源时会改变列的宽度
- 3 Bootstrap 3.3.7 - form-inline - 输入框和按钮同一行
- 79 ngrok安全可靠吗?是否存在被攻击的风险?
- 114 在Bootstrap 3中,`data-target`属性是什么?
- 4 Bootstrap 3.3.7 - 轮播图不显示标记为'class - 'item''的div内容
- 24 data-target和data-slide-to属性是什么?
- 4 如何使用JQuery 3.3.1和Bootstrap 3.3.7设置日期选择器?
- 7 如何使用Angular 6和Bootstrap 3.3.7创建带复选框列表的可折叠/展开/树形结构。
- 3 Bootstrap v3带有多个data-target的导航栏切换不会切换"collapsed"类