有没有办法绕过 CxSAST 扫描中的 XSS 错误？答案

【问题标题】：Is there a way to bypass XSS errors in CxSAST Scan?有没有办法绕过 CxSAST 扫描中的 XSS 错误？
【发布时间】：2021-04-20 11:12:26
【问题描述】：

是否有任何配置选项可用于忽略 CxSAST 扫描中的 XSS 错误？

【问题讨论】：

有趣的问题。能否分享一下用例，为什么要忽略那个错误？
我们在项目中使用 jqurey 进行 dom 操作。以前，使用 checkmarx 版本 8.x.x 时没有 xss 错误。现在升级到最新的 checkmarx 版本 9.3.0.1139 扫描报告所有 jquery 方法中的 xss 错误。
不确定为什么最新版本的 checkmarx 突然出现这种情况？但肯定需要更多时间来修复所有这些错误并进行测试。
你知道，当你升级软件时，你会得到更准确的结果......

【解决方案1】：

如果您收到误报结果，您可以在为您的项目选择的预设中关闭 XSS 查询。如果是 Web 应用程序，则不建议这样做。

您的问题并不清楚，但如果您正在扫描 jquery 库，您可能希望通过文件夹/文件排除将其从扫描中排除。如果结果显示 jquery 方法中的源代码，则表明您正在扫描 jquery 库。排除它也可能会提高您的扫描性能。

一般规则是只扫描您维护并部署到生产环境的代码。这意味着您排除了第三方代码、单元测试、集成测试等内容。

新版本的更多结果并不少见，尤其是在从 8.x 到 9.3 的跳跃中。最近（8.9+）对 Javascript 进行了一些改进，以提高准确性。您可能需要设置排除项，然后仔细查看结果以确保它们不是真正的阳性结果。

【讨论】：

我已经将所有第三方库排除在扫描之外。在我的项目文件中也抛出了 xss 错误，在这些文件中使用了 append()、html()、text() 等 jquery 操作方法。
@sana sait 您可能应该发布代码和您获得的结果的名称。您的结果可能是真正的 DOM XSS 问题，由于 9.3 中改进的 Javascript 支持，现在可以更准确地检测到这些问题。
ndOptionGroup = $("<optgroup>").attr(oOption).attr("label", oOption.text); ndSelect.append(ndOptionGroup);
扫描结果： 应用程序的方法名称（在我的代码中）在生成的输出中嵌入不受信任的数据，并在文件名处附加。这些不受信任的数据直接嵌入到输出中，没有经过适当的清理或编码，使攻击者能够将恶意代码注入到输出中。
if(o.bCustom === true || o.bubble === false){ ndMessage.html(o.text); } else if(bHTML) { ndMessageText.html(o.text); } else{ ndMessageText.text(o.text); }