[英]javascript onclick=“location.replace('url')” not working
[英]Ensure URL is relative before navigating via JavaScript's location.replace()
我有一个登录页面https://example.com/login#destination
,其中destination
是用户在需要登录时尝试导航到的目标URL。
(即https://example.com/destination
)
我正在考虑使用的JavaScript是
function onSuccessfulLogin() {
location.replace(location.hash.substring(1) || 'default')
}
这将导致提供链接的攻击者出现XSS漏洞
https://example.com/login#javascript:..
此外,我需要在登录后阻止导航到一个相似的网站。
https://example.com/login#https://looks-like-example.com
或https://example.com/login#//looks-like-example.com
如何调整onSuccessfulLogin
以确保hash #
部分中提供的URL是相对URL,而不是以javascript:
, https:
, //
或任何其他绝对导航方案开头?
一种想法是评估URL,并在导航之前查看location.origin
保持不变。 你能建议怎么做,或者更好的方法吗?
来自OWASP关于防止未经验证的重定向和转发的建议:
建议将任何此类目标输入映射到值, 而不是URL的实际URL或部分 ,并且服务器端代码将此值转换为目标URL。
因此,一种安全的方法是将一些密钥映射到实际的URL:
// https://example.com/login#destination
var keyToUrl = {
destination: 'https://example.com/destination',
defaults: 'https://example.com/default'
};
function onSuccessfulLogin() {
var hash = location.hash.substring(1);
var url = keyToUrl[hash] || keyToUrl.defaults;
location.replace(url);
}
您还可以考虑仅提供URL的路径部分,并在代码中附加主机名:
// https://example.com/login#destination
function onSuccessfulLogin() {
var path = location.hash.substring(1);
var url = 'https://example.com/' + path;
location.replace(url);
}
我会坚持使用映射。
这是关于XSS漏洞的一个非常好的观点。
我相信所有协议只使用英文字母字符,所以像/^[az]+:/i
这样的正则表达式会检查这些字符。 或者,如果我们感觉更具包容性, /^[^:\\/?]+:/
允许除了/
或?
任何东西 接下来是:
。 然后我们可以将它与/^\\/\\/
结合起来测试一个无协议的URL,它给了我们:
// Either
var rexIsProtocol = /(?:^[a-z]+:)|(?:^\/\/)/i;
// Or
var rexIsProtocol = /(?:^[^:\/?]+:)|(?:^\/\/)/i;
然后测试是这样的:
var url = location.hash.substring(1).trim(); // trim to deal with whitespace
if (rexIsProtocol.test(url)) {
// It starts with a protocol
} else {
// It doesn't
}
也就是说,我认为你唯一需要特别困扰的是javascript:
pseudo-protcol,所以你可能只是测试它。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.