当我们对我们的项目进行安全审计时,我们发现了 Link "/a" 漏洞。
在整个项目中搜索链接后,我们在项目中使用的 JQuery-1.9.js java-script 文件中找到了链接。
该 JQuery-1.9.js 中的一小部分代码 -
// Make sure that URLs aren't manipulated
// (IE normalizes it by default)
hrefNormalized: a.getAttribute("href") === "/a",
据我了解,此代码部分有助于使其(JQuery)与 IE 6/7/8 兼容。hrefNormalized 用于检查锚标记是否将 href 值提供为完整 URL 或精确 href ,这在 IE 版本中存在问题。这部分的更好解释在 https://www.inkling.com/read/jquery-cookbook-cody-lindley-1st/chapter-4/recipe-4-1
我想删除这个漏洞,但我不想删除或更改 JQuery js 文件中的代码。
所以,我的问题是为什么 JQuery 设计者不使用“/#”而不是“/a”。在该代码中使用“/#”有什么问题。
之前有人向 JQuery Team 提出了同样的问题,但他们告诉这不是 Jquery 的问题。有关该票的参考 http://bugs.jquery.com/ticket/10149
帮我解决还是有其他解决方案?
谢谢