Cross-Site Scripting: DOM $(_config.elem).html 解决问题
针对DOM型XSS漏洞,尤其是涉及$(_config.elem).html()的问题,以下是详细的解决方案:
问题根源分析
当使用$(_config.elem).html(content)时,如果_config.elem或content的值受到用户控制且未经过滤,攻击者可能注入恶意脚本。例如:
- _config.elem可能被篡改为危险的选择器。
- content可能包含未转义的HTML/JavaScript代码。
解决方案步骤
1. 避免直接使用 .html() 处理动态内容
- 用 .text() 替代:如果内容不需要HTML标签,使用.text()自动转义内容:
// 错误:直接插入未过滤的HTML
$(_config.elem).html(userInput);
// 正确:使用.text()转义内容
$(_config.elem).text(userInput);
2. 必须使用HTML时,严格过滤内容
- 使用DOMPurify库:对动态HTML内容进行清理:
// 安装DOMPurify: npm install dompurify 或直接引入CDN
const cleanHTML = DOMPurify.sanitize(userInput);
$(_config.elem).html(cleanHTML);
3. 验证 _config.elem 的来源
- 限制选择器范围:确保_config.elem是可信的静态值,或仅允许特定模式(如固定类名前缀):
// 示例:仅允许以'safe-'开头的ID或类名
if (!_config.elem.startsWith('.safe-') && !_config.elem.startsWith('#safe-')) {
throw new Error("Invalid element selector");
}
$(safeSelector).html(cleanContent);
4. 实施内容安全策略(CSP)
- 添加CSP头:通过HTTP头限制脚本执行源,减少XSS影响:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;
5. 避免动态生成选择器
- 硬编码安全元素:如果可能,避免动态生成选择器,改用固定的元素:
// 避免动态选择器
// const elem = calculateFromUserInput(); // 危险!
// 直接使用已知安全元素
$('#safe-container').html(cleanContent);
6. 输入验证与转义
- 白名单验证:对用户输入进行严格校验(如长度、字符类型):
function validateInput(input) {
const allowedChars = /^[a-zA-Z0-9\s\-_]+$/;
return allowedChars.test(input) ? input : '';
}
const safeInput = validateInput(userInput);
7. 监控和更新依赖
- 定期更新库:确保使用的库(如jQuery、DOMPurify)是最新版本,避免已知漏洞。
代码示例(综合应用)
// 假设 _config.elem 和 content 可能受用户影响
// 1. 验证选择器
const allowedSelector = /^[#a-zA-Z][\w-]*$/; // 仅允许简单ID或类名
if (!allowedSelector.test(_config.elem)) {
_config.elem = '#default-container'; // 回退安全值
}
// 2. 清理HTML内容
const cleanContent = DOMPurify.sanitize(userInput, {
ALLOWED_TAGS: ['p', 'span', 'br'], // 仅允许特定标签
ALLOWED_ATTR: ['class', 'style'] // 仅允许安全属性
});
// 3. 使用.text()或清理后的.html()
$(_config.elem).html(cleanContent);
总结
通过避免危险方法、严格过滤输入、验证数据来源以及实施CSP,可有效缓解DOM型XSS风险。始终遵循最小权限原则,确保只有必要的内容被执行或渲染。