【问题标题】:Is Bootstrap 3.3.7 safe and secured if "data-target" attribute is unused?如果未使用“data-target”属性,Bootstrap 3.3.7 是否安全可靠?
【发布时间】:2018-09-18 14:02:04
【问题描述】:
有一个关于 Bootstrap 3.3.7 的 security vulnerability。它说“此软件包的受影响版本容易受到通过 data-target 属性的跨站点脚本 (XSS) 攻击。”我想知道如果不使用“data-target”属性,v3.3.7 是否可以安全使用。
【问题讨论】:
标签:
security
twitter-bootstrap-3
frontend
xss
【解决方案1】:
只有当data-target 值依赖于外部(直接或间接)注入的数据并且显示在攻击者以外的其他用户受到影响的页面上时,才会出现所谓的“漏洞” .
换句话说,如果您的所有data-target 属性都由硬编码的html 文本组成,这不是问题。如果这个页面只被攻击者看到(自我破解......),这通常也不是问题。
例如你也可以说 jQuery .html() 是一个漏洞,这是一个更明显的例子,但如果你是一个完全的网络初学者或者只是没有注意的话,仍然容易受到 XSS 的攻击。
因此,一般情况下,请避免在第三方中注入未转义的用户数据:弹出窗口、工具提示……或在幕后直接操作 DOM 的任何内容。
我个人不认为这是一个大漏洞,但如果像 bootstrap 这样的著名框架处理这种情况或明确将该方法命名为不安全以警告开发人员,会更好。
Chrome 审核认为 bootstrap 3.3.x 存在漏洞 (via synk):
包括具有已知安全漏洞的前端 JavaScript 库