Главная Обзор Помощь
Вход
LBP
/
netbox
зеркало из https://github.com/netbox-community/netbox.git
2
0
Ответвить 0
Файлы Задачи 0 Вики
Просмотр исходного кода

Fixes #20009: Fix DOM-based XSS vulnerability in search export functionality

Replace direct string concatenation with URLSearchParams to properly
encode user input in export link URLs, preventing injection of malicious
parameters or scripts through the search functionality.

Resolves CodeQL Alert #63 (js/xss-through-dom)
Jason Novinger 6 месяцев назад
Родитель
bb83187505
Сommit
2c09973e01
3 измененных файлов с 3 добавлено и 1 удалено
Разделённый вид Показать статистику Diff
  1. 0 0
      netbox/project-static/dist/netbox.js
  2. 0 0
      netbox/project-static/dist/netbox.js.map
  3. 3 1
      netbox/project-static/src/search.ts

Разница между файлами не показана из-за своего большого размера
+ 0 - 0
netbox/project-static/dist/netbox.js


Разница между файлами не показана из-за своего большого размера
+ 0 - 0
netbox/project-static/dist/netbox.js.map


+ 3 - 1
netbox/project-static/src/search.ts
Просмотреть файл 

@@ -38,7 +38,9 @@ function handleQuickSearchParams(event: Event): void {
 
 
   if (quickSearchParameters != null) {
 
     const link = document.getElementById('export_current_view') as HTMLLinkElement;
 
-    const search_parameter = `q=${quickSearchParameters.value}`;
 
+    const params = new URLSearchParams();
 
+    params.set('q', quickSearchParameters.value);
 
+    const search_parameter = params.toString();
 
     const linkUpdated = link?.href + '&' + search_parameter;
 
     link.setAttribute('href', linkUpdated);
 
   }

Некоторые файлы не были показаны из-за большого количества измененных файлов