XSS-Injektion im Nummernfeld der Paging-Symbolleiste in Extjs

Question

Ich habe ein Sicherheitsproblem mit extjs 6 Paging-Symbolleiste für Grid. Ich bin in der Lage, XSS-Skript in Numberfield der Paging-Symbolleiste zu injizieren.

Im Folgenden ist die Geige mit einem Paging-Raster. grid Fiddle link

try Einfügen dieser Code in dem Paging-Symbolleiste Eingabefeld, das Problem zu reproduzieren: <img src=-x onerror="alert (0)";/>

Ich mag diese xss Injektion stoppen. Jede Hilfe wird sehr geschätzt.

Answer 1

Eine Option: Die Paging-Symbolleiste besteht aus einem Nummernfeld.

http://docs.sencha.com/extjs/6.0.1/classic/src/Paging.js.html

einen Zuhörer zu diesem Feld hinzufügen und die Eingabe vor der Verarbeitung überprüfen.

Answer 2

Sie können Regex zum Maskieren von Alphabeten verwenden, da das Zahlenfeld nur die Nummer enthält.Überprüfen Sie dies.

Answer 3

Eine Möglichkeit, dies zu beheben, besteht darin, den Nummernfeld-Eingangstyp der Seitenleiste in Nummer zu ändern. Sie haben Zugriff auf Numberfield Dom im Nachrender.

dockedItems: [{ 
      xtype: 'pagingtoolbar', 
      store: 'simpsonsStore', // same store GridPanel is using 
      dock: 'bottom', 
      displayInfo: true, 
      listeners:{ 
       afterrender:function(pg){ 
        pg.child('[xtype=numberfield]').getEl().dom.getElementsByTagName("input")[0].type='number'; 
       } 
      } 
     }]