BeX5 3.6怎么解决XSS漏洞

wurui8 · 发表于 2020-12-16 10:35:34

测试报告提示有 XSS漏洞，具体测试访问的是 http://127.0.0.1:8080/x5/SA/task/taskView/mainActivity.w?$log=1&language=%3E%22%27%3E%3Cscript%3Ealert%28825%29%3C%2Fscript%3E&activity=mainActivity ，这种漏洞如何修复。

wurui8 · 发表于 2020-12-16 10:40:45

现在开发用的是5.2.7，布署的是3.6版本

wurui8 · 发表于 2020-12-16 10:49:43

应该是 grid组件js的问题

jishuang · 发表于 2020-12-16 14:05:29

推荐升级到3.9版本，对XXS漏洞相关的组件都已经做过处理

wurui8 · 发表于 2020-12-16 15:17:04

jishuang 发表于 2020-12-16 14:05
推荐升级到3.9版本，对XXS漏洞相关的组件都已经做过处理

项目已经验收了，只能对现在有的进行修复了。请提供修复方法

jishuang · 发表于 2020-12-16 15:35:25

如果必须提供补丁，请联系商务人员协商，这个不是处理的个别组件，推荐和完整的方案就是升级，如果有底层的修改补丁是没法升级的

3.6到3.9只是把自己的资源拷贝过去，不需要修改和执行升级脚本

wurui8 · 发表于 2020-12-16 16:12:45

jishuang 发表于 2020-12-16 15:35
如果必须提供补丁，请联系商务人员协商，这个不是处理的个别组件，推荐和完整的方案就是升级，如果有底层的 ...

布署版本是3.6，但实际开发用的是 5.2.7版，升级3.6版本的组件没用的，比如系统中实际用的是还5.2.7的grid组件。我认为是对应的给5.2.7打补丁

wurui8 · 发表于 2020-12-16 16:14:12

只要针对性的解决
测试报告提示有 XSS漏洞，具体测试访问的是 http://127.0.0.1:8080/x5/SA/task/taskView/mainActivity.w?$log=1&language=%3E%22%27%3E%3Cscript%3Ealert%28825%29%3C%2Fscript%3E&activity=mainActivity 这个问题。

jishuang · 发表于 2020-12-16 17:48:31

这个访问的不是5.3的功能吗？

wurui8 · 发表于 2020-12-17 08:56:21

jishuang 发表于 2020-12-16 17:48
这个访问的不是5.3的功能吗？

不是，运行环境是5.3，但实际访问的代码还是5.2.7，用的还是 grid组件

		自动登录	找回密码
密码			注册

[结贴] BeX5 3.6怎么解决XSS漏洞