前端漏洞不扫描理由
| 漏洞类型 | 豁免理由 |
|---|---|
| 基于DOM的XSS | 1.已实施安全加固: 使用encodeURIComponent对URL参数进行编码 对特殊字符(<>“”'&)进行HTML实体转义 使用template literal替代字符串拼接 移除了直接操作DOM的不安全写法,二次扫描仍然扫描出来,且修改建议模糊 2.应用环境封闭: 系统仅在内网环境运行 所有功能均需统一身份认证 不对外网开放访问 3.数据来源可控: 页面展示数据均来自后端数据库 关键参数经过后端校验和过滤 非用户直接输入数据 4.业务影响: 涉及功能均为系统核心功能 客户画像-关联查询模块、关系图谱跳转功能、文件下载功能、新页面打开功能 使用频率高 已实施的安全加固措施足以防范主要风险 过度防护会影响用户体验和系统性能 基于以上原因,特别是已实施的安全加固措施,恳请审核并同意豁免系统内所有基于DOM的XSS漏洞检测。 |
| 重定向 | 1. 已实施安全加固: 使用encodeURIComponent对URL参数进行编码 实现URL合法性校验函数(safeUrl) 验证基础URL是否合法 对参数进行字符过滤,仅允许特定字符 使用template literal替代字符串拼接 移除了window.open等不安全写法,但二次扫描时仍然扫出了漏洞 2. 数据来源可控: URL基础路径来自环境配置(VUE_APP_BASE_API) 重定向目标均为系统内部固定路径 参数数据来自后端数据库 非用户直接输入数据 3.以预警导出功能为例,虽然已按建议实施了URL验证、参数过滤等安全措施,但由于业务需要保留了创建a标签并触发点击的下载方式。 |
| 弱验证 | 1. 已实施验证措施: 实现了基础的数据长度和类型检查 添加了必要的非空验证 对特殊字符进行过滤 URL跳转添加了origin验证 导出功能添加了权限控制 2. 业务特殊性: 系统主要面向内部审计人员 用户具备较高的安全意识 操作留痕可追溯 数据敏感度分级管理 3.以客户画像模块为例,虽然前端验证相对简单,但系统采用了纵深防御策略,通过后端严格的权限控制和数据校验,确保了数据访问的安全性。 |
| 使用不安全的target blank | 1.target="_blank"漏洞的本质是新打开的页面可以通过window.opener访问原页面 现代浏览器已默认开启Site Isolation机制,跨域window.opener访问受到严格限制 已使用rel="noopener noreferrer"属性进行安全加固 所有跳转目标均为可信内部系统 2 漏洞利用前提条件苛刻,需要目标页面被攻击者控制 仅影响特定版本的旧版浏览器 不会导致数据泄露或系统入侵 属于低危漏洞,CVSS评分低于4.0 |
| 系统信息泄露:Session 传递 | 1. 本项目sessionStorage仅用于存储verificationTool验证工具的临时参数 2. 存储内容为: 模型key(tplakey) 查询参数(paramsVal) 跳转模式(jumpMode) 3. 这些参数均不涉及用户敏感信息 4. 使用sessionStorage是Web前端标准推荐的最佳实践方案 |