BeN*_*ErR 9 html javascript xss jquery input
我在自己的代码上测试xss攻击.下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容.按下"测试!"后 按钮,JS会将输入字符串显示为两个div.这是我更好地解释我的问题的一个例子:
<html>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script>
<script type="text/javascript">
function testIt(){
var input = document.getElementById('input-test').value;
var testHtml = document.getElementById('test-html');
var testInnerHTML = document.getElementById('test-innerHTML');
$(testHtml).html(input);
testInnerHTML.innerHTML = input;
}
</script>
<head>this is a test</head>
<body>
<input id="input-test" type="text" name="foo" />
<input type="button" onClick="testIt();" value="test!"/>
<div id="test-html">
</div>
<div id="test-innerHTML">
</div>
</body>
如果您尝试将其复制到.html文件并运行它,它将正常工作,但如果您尝试输入<script>alert('xss')</script>,将只抛出一个警告框:`test-html'div内的一个(带有html()函数).
我真的不明白为什么会发生这种情况,而且,用firebug检查代码会给我这个结果(在注入脚本之后)
<body>
this is a test
<input id="input-test" type="text" name="foo">
<input type="button" value="test!" onclick="testIt();">
<div id="test-html"> </div>
<div id="test-innerHTML">
<script>
alert('xss')
</script>
</div>
</body>
你可以看到test-htmldiv是空的,而test-innerhtmldiv是脚本.有人可以告诉我为什么吗?是因为html()对脚本注入或类似的东西更安全吗?
在此先感谢,最好的问候.
Erw*_*and 20
与此页面上的内容相反,接受HTML字符串作为参数jQuery.html()的许多jQuery函数比innerHTML OP注意到的更容易进行基于DOM的XSS注入.
jQuery.html()提取<script>标记,更新DOM并评估脚本标记中嵌入的代码.
因此,即使在使用DOM加载后,XSS也可以在没有用户交互的情况下发生jQuery.html().
这很容易证明.
这会打电话alert():
$('.xss').html('<script>alert("XSS");</script\>');
虽然这不会:
var d = document.getElementById('xss');
d.innerHTML = '<script\>alert("XSS");</script\>';
不幸的是,还有许多其他代码路径(接收器)导致调用eval()jQuery.安全意识可能会尽可能完全避免使用jQuery.
请注意,我并未声称使用innerHTML是对XSS的有效防御.它不是.正如@daghan所指出的,将非转义数据传递给innerHTML并不安全.在生成HTML时,应始终正确地转义数据.
JQuery删除了脚本标记,这就是为什么你没有看到它附加到dom,更不用说执行了.
要查看为什么jquery剥离它的解释,你可以在这里看到John Resig的回复:https://forum.jquery.com/topic/jquery-dommanip-script-tag-will-be-removed
希望这可以帮助
| 归档时间: |
|
| 查看次数: |
18125 次 |
| 最近记录: |