Hallo,

ich habe hier eine Security Software, die den JavaScript Code auf Schwachstellen scannt. Ein Ergebnis vom Scan ist, dass die Callback-Funktion eines Web Workers untrusted data darstellt. Trifft das zu? Und wenn ja, wie kann man dem Abhilfe schaffen? Es wird als Client DOM XSS von der Sofwtare markiert. Mein Code sieht so aus:

const __workerCB = function(e) {
 let msg = e.data; // e.data wird als unsicher geflaggt
 let worker = e.currentTarget;
 switch (msg.cmd) {
  case "stop":
   worker.terminate();
   break;
  case "result":
   // hier steht code zur 
   
   break;
  case "error":
   worker.terminate();
   console.log(' web worker failed ');
   break;
  default:
   worker.terminate();
   break;
}

worker.addEventListener('message', __workerCB, false);
worker.postMessage({dataset});

Wäre dankbar für Literaturhinweise oder Lösungsvorschläge.

Gruss Michael