可以通过 $() 注入恶意 javascript 代码吗？

Question

例子：

if($('#' + untrusted_js_code).length) > 0
  ....`

通常，“untrusted_js_code”应该是一个简单的字符串，表示项目的 ID。变量的值来自 iframe（通过 postMessage），这就是它不受信任的原因。我只是检查该项目是否存在于当前页面中，然后才对其进行处理。

Answer 1

截至 2012 年 10 月 22 日，jQuery 1.8.2：

是的，XSS 攻击是可能的。

var input = "<script>alert('hello');</script>"
$(input).appendTo("body");

See demo。 jQuery 团队似乎有 acknowledged this 并计划在 jQuery 1.9 中解决它。

从 jQuery 1.8 开始，如果您希望用户输入是 html，请使用 $.parseHTML：

var input = "<script>alert('hello');</script>"
$($.parseHTML(input)).appendTo("body");​

See demo，没有警报。

---

在 OP 描述的情况下，以下内容：

var untrusted_js_code = 'alert("moo")';
$('#' + untrusted_js_code).show();

会翻译成这样：

$('#alert("moo")').show();

这被jQuery解释为CSS选择器，感谢字符串前面的#，相对于html不能有内联JS代码，所以相对安全。上面的代码只会告诉 jQuery 通过该 ID 查找 DOM 元素，导致 jQuery 无法找到该元素，因此不执行任何操作。

Answer 2

是的，如果您使用的是旧版本的 jQuery，这在某些情况下是可能的。这已在 version 1.6.3 中修复 (here's the commit)。另请参阅corresponding bug report。

提交包含一个澄清问题的测试用例：

jQuery( '#<img id="check9521" src="no-such-.gif"' +
        'onerror="jQuery._check9521(false)">' ).appendTo("#qunit-fixture");

对于 1.6.3 之前的 jQuery 版本，onerror 代码将被执行。

不过，您的特定示例（仅检查长度）没有这个问题。

Answer 3

使用该语句，您要求 jQuery 基于选择器执行查询。 作为选择器的字符串，它不会造成任何伤害。

Answer 4

这并不像其他人所说的那么清楚。不受信任的代码将无法进行 XSS（只要您有足够新的 jQuery 版本，正如 balpha 指出的那样），但它可以挂起用户的浏览器或使您的代码收到意外的输入。

例如，如果 untrusted_js_code 是 :input，则翻译为：

$("#:input")

而 jQuery 似乎只是忽略了 # 并匹配 :input。说真的，打开一个控制台并在这个页面上运行那段代码。 （这似乎只适用于伪类。）

一个不法分子可能会给你一个计算密集型的选择器（非常简单地:not(.asdf):not(.asdf) 数万次），这需要几秒钟（或几分钟......）来处理。

（另外，可能存在浏览器错误，因此可能会构造一个选择器来使用户的 Web 浏览器崩溃。）