html()vs innerHTML jquery / javascript& XSS攻击

时间:2011-11-29 22:22:14

标签: javascript jquery html input xss

我正在测试我自己代码的xss攻击。下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容。按下“测试!”后按钮,JS会将输入字符串显示为两个div。这是我更好地解释我的问题的一个例子:

<html>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script>
<script type="text/javascript">
    function testIt(){
        var input = document.getElementById('input-test').value;
        var testHtml = document.getElementById('test-html');
        var testInnerHTML = document.getElementById('test-innerHTML');
        $(testHtml).html(input);
        testInnerHTML.innerHTML = input;
    }
</script>
<head>this is a test</head>
<body>  
    <input id="input-test" type="text" name="foo" />
    <input type="button" onClick="testIt();" value="test!"/>
    <div id="test-html">
    </div>
    <div id="test-innerHTML">
    </div>
</body>

如果您尝试将其复制到.html文件并运行它,它将正常工作,但如果您尝试输入<script>alert('xss')</script>,则只会抛出一个警告框:`test-html中的一个'div(使用html()函数)。

我真的不明白为什么会这样,而且,用firebug检查代码会给我这个结果(在注入脚本之后)

<body>
this is a test
<input id="input-test" type="text" name="foo">
<input type="button" value="test!" onclick="testIt();">
<div id="test-html"> </div>
<div id="test-innerHTML">
  <script>
    alert('xss')
  </script>
</div>
</body>

正如您所见,test-html div为空,test-innerhtml div表示脚本。有人可以告诉我为什么吗?是因为html()对脚本注入或类似的东西更安全吗?

提前致谢,最诚挚的问候。

4 个答案:

答案 0 :(得分:19)

与此页面上的内容相反,jQuery.html()和许多 jQuery函数接受HTML字符串作为参数更容易进行基于DOM的XSS注入而不是{ {1}} ,正如OP所注意到的。

innerHTML提取jQuery.html()代码,更新DOM,评估脚本代码中嵌入的代码

因此,即使在使用<script>加载DOM之后,XSS也可能在没有用户交互的情况下发生。

这很容易证明。

这将调用jQuery.html()

alert()

http://jsfiddle.net/2TpHC/

虽然这不会:

$('.xss').html('<script>alert("XSS");</script\>');

http://jsfiddle.net/Tjspu/

不幸的是,很多其他代码路径(接收器)导致在jQuery中调用var d = document.getElementById('xss'); d.innerHTML = '<script\>alert("XSS");</script\>'; 。安全意识可能会尽可能完全避免使用jQuery。

请注意,我并未声称使用innerHTML是对XSS的有效防御。它不是。正如@daghan所指出的,将非转义数据传递给innerHTML并不安全。在生成HTML时,应该始终正确地转义数据。

答案 1 :(得分:6)

JQuery删除脚本标记,这就是为什么你没有看到它附加到dom,更不用说执行了。

要查看为什么jquery将其删除的解释,您可以在此处查看John Resig的回复:https://forum.jquery.com/topic/jquery-dommanip-script-tag-will-be-removed

希望这有帮助

答案 2 :(得分:1)

是的,jquery html不会呈现脚本标签

但它并不安全 因为您可以使用许多其他xss有效负载,例如<a href>样式,表达式等。

答案 3 :(得分:1)

这与this questionthis one类似。 .html()在输入HTML之前删除脚本标记并单独执行它们。

至于为什么第二个没有被执行,这是因为在页面加载后不会运行这样的动态添加的脚本。

但是,正如@Ben指出的那样,在接受类似的事情时,有许多XSS空缺。也就是说,如果信息显示在他们自己的页面上,他们可以在自己的机器上运行他们想要的任意代码。最大的问题是如果您存储它,或将其发送给其他用户。除非你这样做,否则在这些问题上没有保护用户。也许知道你想要保护的东西会有所帮助。