堆栈内存溢出
  繁体   English   中英

在通过JavaScript的location.replace()导航之前确保URL是相对的

[英]Ensure URL is relative before navigating via JavaScript's location.replace()

 原文  2016-05-30 17:49:24       javascript/ url/ xss

问题描述

我有一个登录页面https://example.com/login#destination ,其中destination是用户在需要登录时尝试导航到的目标URL。
(即https://example.com/destination

我正在考虑使用的JavaScript是 

function onSuccessfulLogin() {
    location.replace(location.hash.substring(1) || 'default')
}

  • 这将导致提供链接的攻击者出现XSS漏洞
    https://example.com/login#javascript:..

  • 此外,我需要在登录后阻止导航到一个相似的网站。
    https://example.com/login#https://looks-like-example.com
    https://example.com/login#//looks-like-example.com

如何调整onSuccessfulLogin以确保hash #部分中提供的URL是相对URL,而不是以javascript:https://或任何其他绝对导航方案开头?

一种想法是评估URL,并在导航之前查看location.origin保持不变。 你能建议怎么做,或者更好的方法吗?

2 个解决方案

解决方案1
 1 已采纳  2016-05-30 20:20:30

来自OWASP关于防止未经验证的重定向和转发的建议:

建议将任何此类目标输入映射到值, 而不是URL的实际URL或部分 ,并且服务器端代码将此值转换为目标URL。

因此,一种安全的方法是将一些密钥映射到实际的URL: 

// https://example.com/login#destination

var keyToUrl = {
  destination: 'https://example.com/destination',
  defaults: 'https://example.com/default'
};

function onSuccessfulLogin() {
  var hash = location.hash.substring(1);
  var url = keyToUrl[hash] || keyToUrl.defaults;

  location.replace(url);
}

您还可以考虑仅提供URL的路径部分,并在代码中附加主机名: 

// https://example.com/login#destination

function onSuccessfulLogin() {
  var path = location.hash.substring(1);
  var url = 'https://example.com/' + path;

  location.replace(url);
}

我会坚持使用映射。

解决方案2
 0  2016-05-30 18:02:26

这是关于XSS漏洞的一个非常好的观点。

我相信所有协议只使用英文字母字符,所以像/^[az]+:/i这样的正则表达式会检查这些字符。 或者,如果我们感觉更具包容性, /^[^:\\/?]+:/允许除了/?任何东西 接下来是: 然后我们可以将它与/^\\/\\/结合起来测试一个无协议的URL,它给了我们: 

// Either
var rexIsProtocol = /(?:^[a-z]+:)|(?:^\/\/)/i;
// Or
var rexIsProtocol = /(?:^[^:\/?]+:)|(?:^\/\/)/i;

然后测试是这样的: 

var url = location.hash.substring(1).trim(); // trim to deal with whitespace
if (rexIsProtocol.test(url)) {
    // It starts with a protocol
} else {
    // It doesn't
}

也就是说,我认为你唯一需要特别困扰的是javascript: pseudo-protcol,所以你可能只是测试它。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 javascript onclick =“location.replace('url')”无效 JavaScript location.replace无法正常工作 Javascript location.replace和iframe 有没有一种方法可以在location.replace内添加document.url(用Java语言) location.replace不替换历史记录中的当前网址 Javascript:location.replace和CSS类 Opera中的Javascript location.replace错误 javascript location.replace无法正常工作 用于location.replace()的Polyfill php cURL返回带有相对地址的location.replace,如何更改?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM