跨域脚本包括
描述:跨域脚本包括
当应用程序包含来自外部域的脚本时,该脚本由调用应用程序的安全上下文中的浏览器执行。因此,脚本可以做任何事情,即应用自己的脚本可以执行,例如访问应用程序数据并在当前用户的上下文中执行操作。
如果您包含来自外部域的脚本,则您将使用应用程序的数据和功能信任该域,并且您是信任域自己的安全性,以防止攻击者修改脚本以在您的应用程序中执行恶意操作。
修复:跨域脚本包括
理想情况下,脚本应不包括在不受信任的域名。依赖静态第三方脚本的应用程序应考虑使用子资源完整性使浏览器验证它们,或将这些脚本的内容复制到自己的域中,包括从那里的它们。如果不可能(例如许可原因),则考虑在应用程序代码中重新实现脚本的功能。
参考
漏洞分类
典型的严重性
信息
类型索引(十六进制)
0x00500500.
类型索引(十进制)
5244160