JS_026_SAFE_DOM_TEXT_BY_DEFAULT:
Severity: blocker. Bereich: js.
Regel
(kein Regeltext)
Reflection-Check
check:
fail: Untrusted API-, URL-, Formular- oder Datenbankwerte fliessen in innerHTML/outerHTML/insertAdjacentHTML.
pass: Untrusted Daten werden mit textContent, value, createElement und sicheren
Attributzuweisungen gerendert.
remediation: DOM programmatisch bauen oder dynamische Teile vor Markup-Insertion
kontextgerecht escapen/sanitizen.
type: dom_sinkEvidence
- OWASP_DOM_XSS, OWASP DOM based XSS Prevention Cheat Sheet
- OWASP_XSS, OWASP Cross Site Scripting Prevention Cheat Sheet