JavaScriptのクライアントDOM XSSの脆弱性を防ぐには？

Question

私のコードでcheckmarxをスキャンした後、以下のメッセージが表示されます。

... \ action \ searchFun.jsの23行目で実行するメソッドは、フォーム要素のユーザー入力を取得します。

この要素の値は、適切にサニタイズまたは検証されずにコードを通過し、最終的に../action/searchFun.jsの28行目の関数でユーザーに表示されます。これにより、DOM XSS攻撃が可能になる場合があります。

Checkmarxを満足させるために上記のシナリオをどのようにサニタイズすることができますか？ スクリプトは次のように：

function searchAnnouncements(){ 
    $('#loadingAnnouncements').html('Loading...'); 
    var formData = $('form').serialize(); 

    jQuery.ajax({ 
    type: "post", 
    url: "bat.ajax", 
    data: formData, 
    cache: false, 
    dataType: "json", 
    cache: false, 
    success: function(json) { 
     $('div.block').unblock(); 
     $('#loadingAnnouncements').html(''); 
     if (json.resultSize > 0) 
     $('#searchResults').html(json.searchResult); 
    }); 
    }, 
} 

Answer 1

あなたはDOMPurifyライブラリを使用することができます。 https://github.com/cure53/DOMPurify

これは、安全なHTMLタグを維持することによってXSS注入を防止する必要があります。

function searchAnnouncements(){ 
    $('#loadingAnnouncements').html('Loading...'); 
    var formData = $('form').serialize(); 

    jQuery.ajax({ 
    type: "post", 
    url: "bat.ajax", 
    data: formData, 
    cache: false, 
    dataType: "json", 
    cache: false, 
    success: function(json) { 
     $('div.block').unblock(); 
     $('#loadingAnnouncements').html(''); 
     if (json.resultSize > 0) 
     $('#searchResults').html(DOMPurify.sanitize(json.searchResult)); 
    }); 
    }, 
}