我正在测试我自己代码的xss攻击。下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容。按下“测试!”后按钮,JS会将输入字符串显示为两个div。这是我更好地解释我的问题的一个例子:
<html>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script>
<script type="text/javascript">
function testIt(){
var input = document.getElementById('input-test').value;
var testHtml = document.getElementById('test-html');
var testInnerHTML = document.getElementById('test-innerHTML');
$(testHtml).html(input);
testInnerHTML.innerHTML = input;
}
</script>
<head>this is a test</head>
<body>
<input id="input-test" type="text" name="foo" />
<input type="button" onClick="testIt();" value="test!"/>
<div id="test-html">
</div>
<div id="test-innerHTML">
</div>
</body>
如果您尝试将其复制到.html文件并运行它,它将正常工作,但如果您尝试输入<script>alert('xss')</script>
,则只会抛出一个警告框:`test-html中的一个'div(使用html()函数)。
我真的不明白为什么会这样,而且,用firebug检查代码会给我这个结果(在注入脚本之后)
<body>
this is a test
<input id="input-test" type="text" name="foo">
<input type="button" value="test!" onclick="testIt();">
<div id="test-html"> </div>
<div id="test-innerHTML">
<script>
alert('xss')
</script>
</div>
</body>
正如您所见,test-html
div为空,test-innerhtml
div表示脚本。有人可以告诉我为什么吗?是因为html()对脚本注入或类似的东西更安全吗?
提前致谢,最诚挚的问候。
答案 0 :(得分:19)
与此页面上的内容相反,jQuery.html()
和许多 jQuery函数接受HTML字符串作为参数更容易进行基于DOM的XSS注入而不是{ {1}} ,正如OP所注意到的。
innerHTML
提取jQuery.html()
代码,更新DOM,评估脚本代码中嵌入的代码。
因此,即使在使用<script>
加载DOM之后,XSS也可能在没有用户交互的情况下发生。
这很容易证明。
这将调用jQuery.html()
:
alert()
虽然这不会:
$('.xss').html('<script>alert("XSS");</script\>');
不幸的是,很多其他代码路径(接收器)导致在jQuery中调用var d = document.getElementById('xss');
d.innerHTML = '<script\>alert("XSS");</script\>';
。安全意识可能会尽可能完全避免使用jQuery。
请注意,我并未声称使用innerHTML是对XSS的有效防御。它不是。正如@daghan所指出的,将非转义数据传递给innerHTML并不安全。在生成HTML时,应该始终正确地转义数据。
答案 1 :(得分:6)
JQuery删除脚本标记,这就是为什么你没有看到它附加到dom,更不用说执行了。
要查看为什么jquery将其删除的解释,您可以在此处查看John Resig的回复:https://forum.jquery.com/topic/jquery-dommanip-script-tag-will-be-removed
希望这有帮助
答案 2 :(得分:1)
是的,jquery html不会呈现脚本标签
但它并不安全
因为您可以使用许多其他xss有效负载,例如<a href>
样式,表达式等。
答案 3 :(得分:1)
这与this question和this one类似。 .html()
在输入HTML之前删除脚本标记并单独执行它们。
至于为什么第二个没有被执行,这是因为在页面加载后不会运行这样的动态添加的脚本。
但是,正如@Ben指出的那样,在接受类似的事情时,有许多XSS空缺。也就是说,如果信息显示在他们自己的页面上,他们可以在自己的机器上运行他们想要的任意代码。最大的问题是如果您存储它,或将其发送给其他用户。除非你这样做,否则在这些问题上没有保护用户。也许知道你想要保护的东西会有所帮助。