Új hozzászólás Aktív témák

• #9059 sztanozs veterán lafaty80 #9043

  Új Válasz 2021-12-27 10:45:12 #9059

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  válasz lafaty80 #9043 üzenetére

  Ez egy komoly biztonsági hibalehetőség egyébként, ha a forrás nem ellenőrzött (illetve a csatorna nem biztonságos), akkor bármilyen rosszindulatú tartalom beinjektálható így.
  Vélelmezem, hogy
  - a rendszerben valahogy meg lehet adni a trusted source-okat és utána nem sivít emiatt;
  - a rendszer csak titkosított forrást (https, érvényes certificate-tel) fogad el trusted sourfce-nak.

• #9044 martonx veterán lafaty80 #9043

  Új Válasz 2021-12-18 18:02:15 #9044

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  martonx

  veterán

  válasz lafaty80 #9043 üzenetére

  Az a baj, hogy ez nem js kérdés.
  Önmagában, amit vizsgálnak valóban tud biztonsági probléma lenni, azaz a hiba jelzésük korrekt.
  Bármikor előfordulhat, hogy amit ily módon betöltesz, abban van valami vicces javascript.
  Ezt ők nyilván nem is fogják tudni helyetted megoldani. Gondolnám, hogy valahogy lehet azért a checkmarx-ot paraméterezni, hogy mire riasszon be, és mire nem.

  Szóval a lehetőséeig szerintem az alábbiak:
  1. újraírod a programodat, hogy abszolút ne használj ilyen js oldani utólagos kód betöltéseket (pl. mindent server side renderelsz, vagy ezeréves jquery helyett elkezdesz modern frameworköket használni Vuejs/React/Angular)
  2. felparaméterezed a checkmarxot / felveszed a supportjukkal a kapcsolatot, hogy ignorálja ezt a biztonsági hibát.

Új hozzászólás Aktív témák