如何解决RxJS库中是否存在安全问题?
当前,我正在开发一个在Angular框架中使用RxJS的项目。最近的渗透测试报告强调指出,在应用程序中使用window.postMessage(‘’,‘*’)
可能会导致安全漏洞。对此进行了进一步调查,我们发现RxJS(http://reactivex.io/rxjs/file/es6/util/Immediate.js.html)中的Instant.js文件可能是此问题的根源。渗透测试报告指出“如果将postMessage()用于在窗口之间传输敏感信息,那么未经授权的窗口也将能够检索此信息”。建议使用显式目标窗口代替window.postMessage()函数中的通配符('*')字符来解决此问题。由于此代码已嵌入RxJS库中,因此我们对其更改感到不满意,因为它可能会带来一些不良影响。
鉴于上述情况,我想知道:
- 可以采取什么措施来防止客户端计算机上的其他窗口监听此Angular应用程序?
- 这是RxJS上的已知问题吗,对此是否有修复程序?
NB 。渗透测试是由第三方进行的,我们不知道他们可能使用的工具。
解决方法
将Angular从5.5.2更新到版本6似乎已经解决了该问题。在更新过程中,根据Angular update site的建议,rxjs已更新为版本6。我们按照本站点提供的步骤进行操作,现在我们正在运行rxjs 6,它不包含在渗透测试中突出显示的window.postMessage(“”,“ *”)函数。
@fridoo再次感谢您为我们指明了正确的方向!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。