uni-app iOS离线SDK打包出的ipa经过爱加密监测存在问题
uni-app iOS离线SDK打包出的ipa经过爱加密监测存在问题
| 项目属性 | 值 |
|---|---|
| 产品分类 | uniapp/App |
| PC开发环境 | Mac |
| PC开发环境版本 | Mac OS14.4.1 |
| HBuilderX类型 | 正式 |
| HBuilderX版本 | 3.8.4 |
| 手机系统 | iOS |
| 手机系统版本 | iOS 17 |
| 手机厂商 | 苹果 |
| 手机机型 | 12 Pro Max |
| 页面类型 | vue |
| vue版本 | vue2 |
| 打包方式 | 离线 |
| 项目创建方式 | HBuilderX |
操作步骤:
- 离线SDK打包ipa,通过爱加密扫描
预期结果:
- 无InnerHTML 的 XSS 攻击风险
实际结果:
- 存在 InnerHTML 的 XSS 攻击风险
bug描述:
离线SDK打包出的ipa经过爱加密扫描,反馈有“检测 iOS 应用存在 InnerHTML 的 XSS 攻击风险”
文件: Payload/HBuilder.app/HBuilder 相关代码:
function __DC_SetCssToFile(csscode) {
var container = document.getElementsByTagName('head')[0];
var addStyle = document.createElement('style');
addStyle.rel = 'stylesheet';
addStyle.type = 'text/css';
addStyle.innerHTML = decodeURIComponent(csscode);
container.appendChild(addStyle);
};
更多关于uni-app iOS离线SDK打包出的ipa经过爱加密监测存在问题的实战教程也可以访问 https://www.itying.com/category-93-b0.html
