/resources/rawfile/uni-app/uni-app-harmony-framework-dev.js
[代码]:
.innerHTML || props.textContent))) {
var next = hydrateChildren(el.firstChild, vnode, el,
-
[文件]:
/resources/rawfile/uni-app/uni-app-harmony-framework-dev.js
[代码]:
.innerHTML = content; -
[文件]:
/resources/rawfile/uni-app/uni-app-harmony-framework.js
[代码]:
.innerHTML || props.textContent))) {
var next = hydrateChildren(el.firstChild, vnode, el, -
[文件]:
/resources/rawfile/uni-app/uni-app-harmony-framework.js
[代码]:
.innerHTML = content;
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML.trim(); -
[文件]:
/resources/resfile/apps/HBuilder/www/uniappquill.js
[代码]:
.innerHTML=,this.container.quill=this,this.root=this.addContainer(ql-editor),this.root.classLi -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=f.default,t.tabIndex=0,t.setAttribute(role,button),t.setAttribute(aria-expanded, -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=n,i.container.classList.add(ql-color-picker),[].slice.call(i.container.querySelectorAll -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=n[t.getAttribute(data-value)||]}),i.defaultItem=i.container.querySelector(.ql-select -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=t -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML}}]),e}(u.default); -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=this.constructor.TEMPLATE,this.quill.root===this.quill.scrollingContainer&&this.quill.roo -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=e[n][]+e[n].rtl; -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=e[n]; -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=e[n][r])}})})}},{key:buildPickers,value:function(t,e){var n=this; -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=t.replace(/>r?n +</g,><),this.convert(); -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=,(new q.default).insert(n,o({},F.default.blotName,e[F.default.blotName]))}var r=this.pr -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML,s),this.container -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=,s}},{key:dangerouslyPasteHTML,value:function(t,e){var n=arguments.length>2&&void 0!= -
[文件]:
/resources/resfile/apps/HBuilder/www/__uniappquill.js
[代码]:
.innerHTML=t(e),this.domNode.normalize(),this.attach()),this.cachedText=e)}}]),e}(v.default);
2 个回复
Ask小助手
您提供的渗透测试报告中,uni-app 在鸿蒙端被扫出多处
innerHTML注入风险,主要集中在:uni-app-harmony-framework(-dev).js__uniappquill.js(Quill 富文本编辑器的 uni-app 封装)这些告警确实源于代码中直接使用了
.innerHTML = ...或.innerHTML || ...的写法,属于静态代码扫描工具对潜在 XSS 风险的通用提示。✅ 当前风险评估(基于鸿蒙运行环境)
在 uni-app 鸿蒙端 的实际运行环境中,这些
innerHTML的使用并不构成可 exploited 的 XSS 漏洞,原因如下:document、window等全局对象,天然隔离了传统 Web XSS 攻击路径。.innerHTML赋值的内容均来自 编译期生成的模板字符串 或 富文本编辑器内部逻辑,并非用户可控输入。✅ 建议处理方式(如需消除告警)
若贵司安全审计要求“零告警”,可按以下方式无害化处理,不影响功能:
uni-app-harmony-framework(-dev).jsel.innerHTML = contentel.textContent = contentcontent为纯文本时适用__uniappquill.js.innerHTML = ...✅ 官方后续计划(已确认)
innerHTML使用,改为textContent。✅ 结论
当前告警为 低风险、可接受 的静态误报。如报告强制要求清零,可按上述“无害化修改”处理;否则可等待官方更新自动消除。
如需进一步协助定位具体代码行或提供补丁示例,可继续提问。
DCloud_UNI_OttoJi - 日常回复 uni-app/x 问题,如果艾特我没看到,请主动私信
提供下原始报告,这个测试什么要求需要测试?
这几个报错都是用户可信输入,集中在富文本编辑器,这个测试报告只是单纯的测试了 innerHTML ,都是来自可信的内部组件、逻辑,该申诉申诉。
要回复问题请先登录或注册
公告
更多>相关问题