RxJS 库中是否存在安全问题?
Is there a security concern in RxJS library?
目前我正在开发一个在 Angular 框架内使用 RxJS 的项目。最近的一份渗透测试报告强调,在应用程序中使用 window.postMessage(‘’, ‘*’) 可能会导致安全漏洞。进一步调查,我们发现 RxJS (http://reactivex.io/rxjs/file/es6/util/Immediate.js.html) 中的 Immediate.js 文件可能是此问题的根源。渗透测试报告指出“如果 postMessage() 用于在 windows 之间传输敏感信息,那么未经授权的 window 也能够检索此信息”。有人建议在 window.postMessage() 函数中使用显式目标 window 而不是通配符 ('*') 来解决此问题。由于这段代码嵌入在 RxJS 库中,我们不方便更改它,因为它可能会引入一些不良影响。
鉴于上述情况,我想知道:
- 可以采取什么措施来防止客户端计算机上的其他 windows 侦听此 Angular 应用程序?
- 这是 RxJS 上的已知问题吗?是否有可用的修复程序?
N.B. 渗透测试是由第三方进行的,我们不知道他们可能使用的工具。
将 Angular 从 5.5.2 更新到版本 6 似乎解决了这个问题。更新期间,rxjs 已按照 Angular update site 推荐更新至版本 6。我们按照本网站提供的步骤进行操作,现在我们是 运行 rxjs 6,其中不包括我们渗透测试中突出显示的 window.postMessage("", "*") 函数。
@fridoo 再次感谢您为我们指明了正确的方向!
目前我正在开发一个在 Angular 框架内使用 RxJS 的项目。最近的一份渗透测试报告强调,在应用程序中使用 window.postMessage(‘’, ‘*’) 可能会导致安全漏洞。进一步调查,我们发现 RxJS (http://reactivex.io/rxjs/file/es6/util/Immediate.js.html) 中的 Immediate.js 文件可能是此问题的根源。渗透测试报告指出“如果 postMessage() 用于在 windows 之间传输敏感信息,那么未经授权的 window 也能够检索此信息”。有人建议在 window.postMessage() 函数中使用显式目标 window 而不是通配符 ('*') 来解决此问题。由于这段代码嵌入在 RxJS 库中,我们不方便更改它,因为它可能会引入一些不良影响。
鉴于上述情况,我想知道:
- 可以采取什么措施来防止客户端计算机上的其他 windows 侦听此 Angular 应用程序?
- 这是 RxJS 上的已知问题吗?是否有可用的修复程序?
N.B. 渗透测试是由第三方进行的,我们不知道他们可能使用的工具。
将 Angular 从 5.5.2 更新到版本 6 似乎解决了这个问题。更新期间,rxjs 已按照 Angular update site 推荐更新至版本 6。我们按照本网站提供的步骤进行操作,现在我们是 运行 rxjs 6,其中不包括我们渗透测试中突出显示的 window.postMessage("", "*") 函数。
@fridoo 再次感谢您为我们指明了正确的方向!