检测到 PostMessage 通配符事件侦听器

info Web App Scanning 插件 ID 113851

简介

检测到 PostMessage 通配符事件侦听器

描述

依赖于 JavaScript 的 Web 应用程序通常需要在 `Window` 对象(例如页面和嵌入式 iframe 或弹出窗口)之间执行跨源通信。postMessage API 允许开发人员避开同源策略限制,以便在位于不同源的脚本之间交换数据。
根据应用程序的需要,可以添加消息事件监听器,以在其部分逻辑中使用收到的消息。然而,如果使用在这些消息中接收的数据进行某些操作(例如,构建页面 DOM),则攻击者可利用此问题注入恶意数据,并执行跨站脚本 (XSS) 或原型污染等客户端攻击。

解决方案

如果应用程序逻辑中不需要消息事件监听器,则将其删除,或验证消息发送方来源是否与受信任的白名单匹配。

另见

https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/

https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage

插件详情

严重性: Info

ID: 113851

类型: remote

发布时间: 2023/5/5

最近更新时间: 2023/5/5

扫描模板: basic, full, pci, scan