0
私はsocket.ioにXSSの脆弱性があると私はこれを解決する方法が不思議です。socket.ioにはxssの脆弱性がありますか?これを解決するには?
pubsub redis with socket.ioについては/ XSSホールがある投稿を参照してください。 Redisの-CLIから
あなたは:
publish pubsub "<script>alert('Hello world!');</script>"
あなたは
は、この問題を解決するには... BAD あるHello world!との警告ダイアログが表示されます私はvisionmediaのヒスイから次のコードをコピーライブラリとこれで十分かどうか疑問に思う?
/**
* Escape the given string of `html`.
*
* @param {String} html
* @return {String}
* @api private
*/
function sanitize(html){
return String(html)
.replace(/&(?!\w+;)/g, '&')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/"/g, '"');
}
これで十分ですか、何か不足していますか? socket.jsの中でさえ問題を解決するかもしれませんか?
「xssの脆弱性」にはどのようなものがあると思いますか? –
この脆弱性を持つ別のトピックのスニペットに私の質問を更新しました。 – Alfred
信頼できないデータをそのまま表示することは、XSSの脆弱性です。この特定のことについてsocket.ioには何もありません。 –