0

我在 SonarJS 中编写了一个自定义检查来检测 javascript 中的持久性跨站点脚本漏洞。但是,我得到了很多误报,并尝试改进代码。

我有以下两个问题:

  1. SonarJS 是否支持数据流分析?例如,跟踪某个值来自 Ajax 响应并最终打印到 HTML(如innerHtml)。

  2. SonarJS 插件中是否有任何解析器来解析“+”运算符?例如,this.name'<input value="' + this.name + '">'表达式中获取部分。

问候!杰克·姚

4

1 回答 1

0
  1. SonarJS 中有数据流分析,但不应该在自定义规则中使用,也不是针对您需要的东西
  2. SonarJS 中只有一个解析器,据我所知,它解析“+”运算符
于 2018-05-11T07:17:33.773 回答