问题描述
我将 checkmarx 用于代码中的安全漏洞。 (反应原生)。我使用 ios https://reactnative.dev/docs/linking 官方文档中的本指南在 react-native 中启用了深度链接。从文档中,我将此代码添加到 AppDelegate.m
- (BOOL)application:(UIApplication *)application
openURL:(NSURL *)url
options:(NSDictionary<UIApplicationopenURLOptionsKey,id> *)options
{
return [RCTLinkingManager application:application openURL:url options:options];
}
但是,checkmarx 报告说我需要清理或验证 url 以防止 XSS 攻击,关于如何实现这一点的任何想法?
解决方法
要缓解代码中的 XSS 漏洞,您必须使用 stringByAddingPercentEncodingWithAllowedCharacters 方法对 url 参数进行 URL 编码:
- (BOOL)application:(UIApplication *)application
openURL:(NSURL *)url
options:(NSDictionary<UIApplicationOpenURLOptionsKey,id> *)options
{
NSString *urlEncoded = [url stringByAddingPercentEncodingWithAllowedCharacters:[NSCharacterSet URLHostAllowedCharacterSet]];
return [RCTLinkingManager application:application openURL:urlEncoded options:options];
}