JQuery 安全问题 - 链接操作（基于 DOM）答案

【问题标题】：JQuery Security Issue - Link manipulation (DOM-based)JQuery 安全问题 - 链接操作（基于 DOM）
【发布时间】：2018-11-22 12:54:46
【问题描述】：

BURP 套件发现存在链接操作（基于 DOM）问题 /jquery-3.3.1.js

问题出在代码中：

// 解析文档来源的锚标记

originAnchor = document.createElement("a");

originAnchor.href = location.href;

如果问题是误报，任何人都可以发表评论。问题仍然存在于库的最新版本中。

谢谢

【问题讨论】：

还有一个问题所在： // 为创建的文档设置基本 href // 所以任何带有 URL 的解析元素 // 都基于文档的 URL (gh-2965) base = context .createElement("base"); base.href = 文档.location.href; context.head.appendChild(base); } 其他 { 上下文 = 文档；从 document.location.href 读取数据并通过以下语句传递给 DOM 元素的“href”属性：base.href = document.location.href;

标签： jquery

【解决方案1】：

这是 Burp 支持的回答：

'我没有看到任何重大的安全影响，所以是的，它们是误报。

Burp 中的 JavaScript 分析非常彻底，但不幸的是确实产生了一些误报。'

调查结果为假阳性。

【讨论】：