偵測到 PostMessage 萬用字元事件接聽程式
info Web App Scanning Plugin ID 113851
語系:
概要
偵測到 PostMessage 萬用字元事件接聽程式說明
依賴 JavaScript 的 Web 應用程式通常需要在「Window」物件 (例如頁面) 和內嵌的 iframe 或快顯視窗之間執行跨來源通訊。postMessage API 允許開發人員規避同源原則限制,以便在位於不同來源的指令碼之間交換資料。視應用程式需求而定,使用者可以新增訊息事件接聽程式,以便在其部分邏輯中使用收到的訊息。不過,如果將這些訊息中收到的資料用於 (例如) 構建頁面 DOM,則攻擊者可利用此問題插入惡意資料,並發動如跨網站指令碼 (XSS) 或原型污染等用戶端攻擊。
解決方案
如果應用程式邏輯中不需要訊息事件接聽程式,請將其移除,或請驗證訊息寄件者來源是否與受信任的允許清單相符。另請參閱
https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/
https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
Plugin 詳細資訊
嚴重性: Info
ID: 113851
類型: remote
系列: Web Applications
已發布: 2023/5/5
已更新: 2023/5/5
掃描範本: basic, full, pci, scan