离线SDK打包ipa,通过爱加密扫描
hx168
- 发布:2024-04-12 14:20
- 更新:2024-04-12 14:20
- 阅读:124
产品分类: uniapp/App
PC开发环境操作系统: Mac
PC开发环境操作系统版本号: Mac OS14.4.1
HBuilderX类型: 正式
HBuilderX版本号: 3.8.4
手机系统: iOS
手机系统版本号: iOS 17
手机厂商: 苹果
手机机型: 12 Pro Max
页面类型: vue
vue版本: vue2
打包方式: 离线
项目创建方式: HBuilderX
操作步骤:
预期结果:
无InnerHTML 的 XSS 攻击风险
无InnerHTML 的 XSS 攻击风险
实际结果:
存在 InnerHTML 的 XSS 攻击风险
存在 InnerHTML 的 XSS 攻击风险
bug描述:
离线SDK打包出的ipa经过爱加密扫描,反馈有“检测 iOS 应用存在 InnerHTML 的 XSS 攻击风险”
文件:Payload/HBuilder.app/HBuilder 相关代码:;function __DC_SetCssToFile(csscode){ var
container=document.getElementsByTagName('head')[0]; var addStyle=document.createElement('style'); addStyle.rel='stylesheet';addStyle.type='text/css'; addStyle.innerHTML=decodeURIComponent(csscode); container.appendChild(addStyle);};
