在每个人都告诉我不应该进行客户端清理之前(我确实打算在客户端进行清理,尽管它也可以在SSJS中运行),让我澄清一下我要做什么
我想要一些东西,类似于Google Caja或HTMLPurifier但是对于JavaScript:一种基于白名单的安全方法,它处理HTML和CSS(当然没有插入到DOM中,这不会是安全的,但首先以字符串形式获得)然后选择性地过滤掉不安全的标签或属性,忽略它们或者可选地将它们包括为转义文本或以其他方式允许它们被报告给应用程序以进行进一步处理,理想情况是在上下文中。如果它可以将任何JavaScript减少到一个安全的子集,如谷歌Caja,那将是很酷的,但我知道这会有很多问题。
我的用例是访问通过JSONP获取的不受信任的XML / XHTML数据(在wiki处理之前来自Mediawiki wikis的数据,从而允许原始但不受信任的XML / HTML输入)并允许用户进行查询和转换该数据(XQuery,jQuery,XSLT等),利用HTML5允许离线使用,IndexedDB存储等,然后可以允许在用户查看输入源的同一页面上预览结果并建立或导入他们的查询。
用户可以生成他们想要的任何输出,因此我不会清理他们正在做的事情 - 如果他们想要将JavaScript注入页面,那么他们的所有权力。但我确实希望保护那些希望自己能够添加代码的用户,这些代码可以安全地从不受信任的输入中复制目标元素,同时禁止他们复制不安全的输入。
这肯定是可行的,但我想知道是否有任何库已经这样做了。
如果我不能自己实现这个(尽管我在任何一种情况下都很好奇),我想证明在插入文档之前是否使用innerHTML或DOM创建/追加是各方面都很安全。例如,如果我第一次运行DOMParser或依靠浏览器HTML解析,使用innerHTML将原始HTML附加到未插入的div,可能会意外触发事件吗?我相信它应该是安全的,但不确定DOM操作事件是否可能在插入之前以某种方式发生,这可能被利用。
当然,构建的DOM需要在那之后进行清理,但我只想验证我可以安全地构建DOM对象本身以便于遍历,然后担心过滤掉不需要的元素,属性和属性值。
谢谢!
答案 0 :(得分:2)
ESAPI的目的是提供一个简单的界面,以一种清晰,一致且易于使用的方式提供开发人员可能需要的所有安全功能。 ESAPI体系结构非常简单,只是一个类的集合,它封装了大多数应用程序所需的关键安全操作。
OWASP ESAPI的JavaScript版本:http://code.google.com/p/owasp-esapi-js
输入验证非常难以有效地完成,HTML很容易成为有史以来最糟糕的代码和数据混搭,因为有很多可能的地方放置代码和许多不同的有效编码。 HTML特别困难,因为它不仅是分层的,而且还包含许多不同的解析器(XML,HTML,JavaScript,VBScript,CSS,URL等)。虽然输入验证很重要并且应该始终执行,但它并不是注入攻击的完整解决方案。最好使用转义作为主要防御。我之前没有使用HTML Purifier,但它看起来不错,而且肯定会花费大量的时间和精力。为什么不首先使用他们的解决方案服务器端,然后在此之后应用您想要的任何其他规则。我见过一些黑客只使用[ ] ( )的组合来编写代码。此处有100多个示例XSS (Cross Site Scripting) Cheat Sheet和The Open Web Application Security Project (OWASP)。有些事情需要注意DOM based XSS Prevention Cheat Sheet。
HTML Purifier捕获此混合编码黑客
<A HREF="h
tt p://6	6.000146.0x7.147/">XSS</A>
此DIV背景图像采用无线XSS攻击
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
你所反对的一点:所有70种可能的角色组合“&lt;”用HTML和JavaScript
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C