Bonjour,

J'ai une appli codé en php natif et j'utilise Jquery. Sur certaines pages, je fais des appels Ajax et récupère une page avec du code. Ce résultat est ensuite affiché dans une <div>.

Code exemple :

            $.ajax({
                url: 'modules/pageAjax.php',
                type: 'POST',
		headers: {"token": token},
                data: {"ajax_call": true},
                cache: false,
                    success: function(data){
                        $("#id").html(data);
                    },
                    error: function(XMLHttpRequest, textStatus, errorThrown) {
                        alert('Erreur : Appel AJAX');
                    }
            });

J'ai une alerte coté Cyber Sécurité sur laligne : $("#id").html(data);  en gros je ne dois pas utiliser la fonction html() mais comment afficher la page en prenant en compte les balises ? je test plein de choses mais sans succès. Si quelqu'un a une idée, je suis preneur.

Cdt.

Hello.

Que veux tu dire par "une alerte cyber sécurité" ?

-
Edité par ninjavascript 7 avril 2024 à 16:01:15

Bonjour,

Je suis dans une boite ou l'on passe nos codes dans un outils et celui-ci nous remonte des alertes. J'ai ensuite un référent Cyber qui me dit si oui ou non cette alerte doit être corrigée. C'est le cas pour celle ci :-(

Cdt.

Ok mais du coup il faut vérifier les guidelines de l'outil de sécurité que tu utilises sur ce genre de code.

A vue de nez je dirais que l'alerte provient de l'injection de HTML non sanitizé dans le DOM, mais ce n'est qu'une supposition.

Bonjour,

Voici le message généré par l'outils Cyber : "Ces données non fiables sont intégrées dans la sortie sans nettoyage ni codage appropriés, permettant à un attaquant d'injecter du code malveillant dans la page Web générée."

Cdt.

Ok donc c'est bien ça à priori.

Il faudrait tenter de passer par une lib de nettoyage de HTML. Tu as possiblement DOMPurify (jamais essayé perso) dont l'implémentation ressemblerait à qqch du genre :

  <script src="https://unpkg.com/dompurify@3.1.0/dist/purify.min.js"></script>

Ensuite, simplement utiliser la fonction DOMPurify.sanitize :

// ...
$("#id").html(DOMPurify.sanitize(data));
// ...