专业的社区

原型污染设置

当您启用原型污染选项，您可以单击其旁边的COG图标，以访问进一步的设置以微调DOM Invader的行为。

扫描小工具

启用此设置后，每当页面加载时，DOM Invader会自动扫描小工具。虽然可以使用特定来源扫描小工具，在您没有找到任何来源的情况下，此选项是一个有用的替代方法。这使您能够确保您的网站不包含任何可能将来可能被利用的小工具。

DOM Invader会自动调整原型污染设置的其余部分。如果需要，您可以手动覆盖这些设置。

默认情况下，DOM Invader自动缩放扫描原型污染小工具时每帧使用的属性数量。这有助于提高性能，但会导致错过小工具。例如，注射属性可能会导致例外，以防止Dom Invader测试同一iFrame中的任何其他小工具，从而导致虚假负面。

如果愿意，可以禁用此选项，并使用滑块设置固定限制。降低限制会使扫描花费更长的时间，但减少了您缺少小工具的机会。增加极限的效果相反。

默认情况下，DOM Invader递归扫描嵌套在其他属性中的属性。如果禁用此设置，DOM Invader仅使用每个对象的顶级属性扫描小工具。

例如，考虑以下对象：

const user = {id：1337，名称：“ carlos”，contactInfo：{email：“ carlos@ginandjuice.shop”，电话：0161133713371}}

默认情况下，DOM Invader将测试此的所有属性用户目的。如果禁用此设置，则user.contactinfo.email和user.contactinfo.Phone属性将跳过。

默认情况下，使用查询字符串中的参数对原型污染进行原型污染测试。如果该设置阻止站点正确工作，则可能需要禁用此设置。

默认情况下，使用URL的哈希或片段部分对原型污染进行原型污染测试。如果该设置阻止站点正确工作，则可能需要禁用此设置。

默认情况下，通过注入基于JSON的Web消息来对原型污染进行DOM Invader测试。beplay体育能用吗如果该设置阻止站点正确工作，则可能需要禁用此设置。

默认情况下，DOM Invader等待页面完成加载，然后再报告原型污染。这是为了确保最终DOM中仍然存在任何已识别的小工具。

如果您禁用此设置，DOM Invader找到了潜在的小工具。这可以减少扫描的持续时间，但可能会导致误报。例如，Dom Invader可以使用构造函数或者__proto__属性，可能会在页面完成加载时进行消毒。

当启用此设置时，Dom Invader Strips Strips内容 - 安全政策所有回答的标题。这样可以防止CSP阻止潜力XSS向量以及iframe，这是扫描小工具时必不可少的。

当启用此设置时，Dom Invader Strips StripsX框架选项所有回答的标题。这样可以防止它阻止IFRAME，这是在扫描小工具时必不可少的。

出于绩效原因，默认情况下，DOM Invader扫描了顶框中的原型污染。但是，您可能会遇到不同的技术相互干扰的情况，这可能会导致您错过漏洞。例如，尝试两者__proto__和构造函数同时在某些网站上失败了，即使构造函数在孤立作品中。

启用此设置后，DOM Invader对每种技术使用单独的iFrame。尽管这可能会产生较小的性能影响，但它可以确保对每种技术进行独立测试，从而减少虚假负面因素的机会。

DOM Invader使用多种不同技术来进行原型污染。您可能会发现，立即使用所有这些技术可防止攻击在某些站点上工作。因此，您可能更喜欢禁用某些技术或一次使用一种技术。

禁用原型污染技术：