Michael_K: web worker - data is untrusted?

Hallo,

ich habe hier eine Security Software, die den JavaScript Code auf Schwachstellen scannt. Ein Ergebnis vom Scan ist, dass die Callback-Funktion eines Web Workers untrusted data darstellt. Trifft das zu? Und wenn ja, wie kann man dem Abhilfe schaffen? Es wird als Client DOM XSS von der Sofwtare markiert. Mein Code sieht so aus:

const __workerCB = function(e) {
 let msg = e.data; // e.data wird als unsicher geflaggt
 let worker = e.currentTarget;
 switch (msg.cmd) {
  case "stop":
   worker.terminate();
   break;
  case "result":
   // hier steht code zur 
   
   break;
  case "error":
   worker.terminate();
   console.log(' web worker failed ');
   break;
  default:
   worker.terminate();
   break;
}

worker.addEventListener('message', __workerCB, false);
worker.postMessage({dataset});

Wäre dankbar für Literaturhinweise oder Lösungsvorschläge.

Gruss Michael

  1. Hallo Michael_K,

    wenn das dein eigener Worker ist, würde ich auf die Meldung pfeifen. Du weißt doch, welche Daten Du überträgst.

    Es ist natürlich eine "Fremd-Datenquelle", die Du da konsumierst. Du musst ihre Vertrauenswürdigkeit aber selbst beurteilen. Eine Standardsoftware kann das nicht, sie kann nur auf das Potenzial für Probleme hinweisen. Es sei denn, es gibt noch weitere Anhaltspunkte, die zu der Problemmeldung führen und die wir hier nicht kennen.

    Also nimm den Salzstreuer und genieße den Problemreport mit einer ordentlichen Prise daraus.

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Vielen Dank für die Information! Ist in der Tat ein eigener Worker mit einer fest codierten Worker-URL.