【发布时间】:2020-07-14 22:54:24
【问题描述】:
我正在尝试使用 DOMPurify 修复跨端脚本 (XSS)。发现的漏洞位于以下 URL 中。 https://stage-xyzmysite.com/login/?rUrl=javascript:alert('hi') 。我正在尝试做一个简单的 POC,它将尝试消除 javascript 警报部分。我尝试使用 DOMPurify.sanitize( ) 。我期待看到 javascript 部分被删除,但它没有发生。如果我在 URL 中附上带有标签的警报,那么它就会被消除。还有其他我应该使用的特殊配置吗?
【问题讨论】:
-
DOMPurify 用于清理 HTML。您有一个不受信任的 URL,而不是 HTML;在创建指向它的链接之前,您应该验证它的方案(
http或https,或者如果它应该是一个内部重定向,您应该更进一步,确保它指向您自己的站点)。
标签: javascript html url xss dompurify