如何在 javascript 中保护 location.href 免受跨站点脚本的影响？

Question

在我的 javascript 函数中我使用 location.href 如下 location.href = "../Floder1/result.jsp"; 它工作正常，但是当我使用强化工具时，它显示跨站点脚本which can result in the browser executing malicious code. 如何保护它免受跨站点脚本攻击。非常感谢，您的回答将不胜感激。

Answer 1

此代码仅适用于 firefox，因为并非所有浏览器都实现了代理

您可以做的是将原始location 对象替换为代理对象，在其中您向代理添加一些逻辑以检查位置的允许值。这不会防止直接修改原始对象 (location)，但如果您在代码中仅使用代理对象，您应该没问题。

// suppose we are in example.com
let validator = {
   set: function(obj, prop, val) {
     if (prop === 'href') {
       if(typeof val != 'string'){
         throw new TypeError('href must be string.');
       }
       if (!val.startsWith("https://example.com/")) {
         throw new Error('XSS');
       }
     }
    obj[prop] = val;
    return true;
   },
   get: function(obj, prop){
    return prop in obj?
        obj[prop] :
        null;
   }
};
let proxiedLocation = new Proxy(location, validator);
console.log(proxiedLocation.href);// work same as location.href
proxiedLocation.href = "https://example.com/page1";// work fine
proxiedLocation.href = "https://example.net/page1";// cause exception

Answer 2

Cross-site Scripting 发生在用户可以将数据放入网页或获取会话数据等情况下。

如何保护

您绝不允许在您的网页中注入代码。因此，如果您有一个表单，请在服务器中检查它并在打印到您的页面之前对其进行解析。

您不应允许href 更改页面内容。你总是escape之前的数据！

阅读这个关于location.href的答案：https://stackoverflow.com/a/24089350/2389232

样本：

您有一个 iframe，它会随 GET 变量发生变化：

sample.tld/index.jsp?iframe=none.jsp

我可以将script 注入您的 iframe，因此您应该使用转义字符保护它：

// Escape the characters in the server and send it to the client.
// So the variable GET iframe will be valid