jQuery使用中可能被XSS攻击的一些危险环节提醒
$
我们经常使用向$内传入一个字符串的方式来选择或生成DOM元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。
先看一个DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output
$("<imgsrc=''onerror='alert();'>");
当用户输入的字符串是像这样的时,虽然这个<img>元素不会马上被插入到网页的DOM中,但这个DOM元素已经被创建了,并且暂存在内存里。而对于<img>元素,只要设置了它的src属性,浏览器就会马上请求src属性所指向的资源。我们也可以利用这个特性做图片的预加载。在上面的示例代码中,创建元素的同时,也设置了它的属性,包括src属性和onerror事件监听器,所以浏览器会马上请求图片资源,显然请求不到,随机触发onerror的回调函数,也就执行了JavaScript代码。
推荐阅读$的官方文档:http://api.jquery.com/jQuery/
类似的其他方法
.after() .append() .appendTo() .before() .html() .insertAfter() .insertBefore() .prepend() .prependTo() .replaceAll() .replaceWith() .unwrap() .wrap() .wrapAll() .wrapInner() .prepend()
以上这些方法不仅创建DOM元素,并且会马上插入到页面的DOM树中。如果使用<script>标签插入了内联JS会立即执行。
不安全的输入来源
document.URL* document.location.pathname* document.location.href* document.location.search* document.location.hash document.referrer* window.name document.cookie
document的大多数属性都可以通过全局的window对象访问到。加*的属性返回的时编码(urlencode)后的字符串,需要解码才可能造成威胁。
不安全的操作
把可以被用户编辑的字符串,用在以下场景中,都是有隐患的。总体来说,任何把字符串作为可执行的代码的操作,都是不安全的。
1.通过字符串创建函数
(1)eval
(2)newFunction
(3)setTimeout/setInterval
2.跳转页面
location.replace/location.assign
修改<script>标签的src属性
修改事件监听器
总结
如果发生在用jQuery时被DOM-XSS攻击的情况,大多是因为忽视了两个东西:
1.在给$传参数时,对参数来源的把控。
2.用户的输入途径不只有表单,还有地址栏,还可以通过开发者工具直接修改DOM,或者直接在控制台执行JS代码。