Whitesource扫描报告和AngularJS 1.4.7

Question

我遇到了以下漏洞问题：

Angular-1.4.7.min.js
No proper sanitize of xlink:href attribute interoplation, thus vulnerable to Cross-site Scripting (XSS).

 WS-2017-0120 2017-01-20
 angular-1.4.7.min.js Latest Stable Version: 1.7.5 
No proper sanitize of xlink:href attribute interoplation, thus vulnerable to Cross-site Scripting (XSS).
Replace or update the following files: compileSpec.js, compile.js 

详细信息：

Link谁能告诉我，我需要用提供的链接做什么？

Answer 1

将AngularJS升级到版本1.50-beta.1，或者按照您所链接的提交的建议，修复有问题的行。

Answer 2

大多数javascript客户端框架" XSS“漏洞都是绕过XSS防御的漏洞，需要额外的初始入口点(给用户一个明确的修改属性\属性的能力)或XSS才能实际利用它。这似乎是另一个类似于这个案例的案例：Is Bootstrap 3.3.7 safe and secured if "data-target" attribute is unused?