在客户端使用不受信任的数据分配 JavaScript 变量是否是 XSS 漏洞?
[英]Is it an XSS vulnerability to assign JavaScript variables with untrusted data on the client side?
问题描述
我想澄清一些有关 JavaScript 变量分配和 XSS 漏洞的信息。 如果分配发生在客户端而不是服务器端,是否对 XSS 漏洞开放? 因此,例如这样的事情:
//www.test.com/index.html?q=malcious-javascript;
<script>
var x = window.location.search.substr(1);
</script>
此时分配不受信任的数据是否是一个安全问题? 请注意,这不是服务器端分配。
我的理解是,此时它不会成为安全问题,即使它位于被认为不安全的 JavaScript 上下文中。 由于它只是一个字符串,因此无法从服务器端生成的动态 JavaScript 中分离出来,后者被发送到浏览器并呈现为 HTML。 只要数据没有在没有适当转义策略的不安全上下文中呈现,例如 HTML 输入值,将不受信任的数据分配给客户端的 JavaScript 变量就是安全的。
如果我上面的理解是错误的,这是一个 XSS 漏洞,有人可以提供一个实际的 XSS 攻击向量的答案,这样我就可以亲眼看看以更好地理解它的执行。
1 个解决方案
解决方案1
1 2020-01-31 12:41:41
当它直接呈现为 HTML 而没有任何清理时,它只是 XSS。
例如,将用户输入设置为innerHTML,或者将用户输入直接渲染到元素的属性中。
你不应该用x做的事情的例子:
element.innerHTML = x;
otherElement.innerHTML = '<div><button type="' + x '">Click me</button></div>';
eval(x); // Just avoid eval overall.
你可以用你的x做什么:
element.innerText = x;
otherElement.dataset.url = x;
oneMoreElement.href = x;
客户端 web 应用程序中是否可能存在 XSS 漏洞?
[英]Is it possible to have XSS vulnerability in a client side web application?
JavaScript库或Esapi阻止XSS-转义和编码不受信任的数据
[英]JavaScript library or Esapi preventing XSS - Escape and Encode untrusted data
调用客户端javascript / webpop的表单的DoS风险/漏洞
[英]DoS Risk/Vulnerability of a Form calling a client side javascript/webpop
如何安全地对通过JavaScript通过JavaScript注入到DOM中的AJAX对来自PHP的不可信数据进行XSS编码?
[英]How to safely XSS encode untrusted data coming from PHP through AJAX injected into the DOM via javascript?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何防止javascript中的客户端DOM XSS漏洞?
Javascript漏洞客户端
客户端 web 应用程序中是否可能存在 XSS 漏洞?
JavaScript 中的 XSS 漏洞
JavaScript库或Esapi阻止XSS-转义和编码不受信任的数据
在客户端防止XSS(纯Javascript)
客户端的JavaScript eval()用于运行不受信任的代码
调用客户端javascript / webpop的表单的DoS风险/漏洞
如何安全地对通过JavaScript通过JavaScript注入到DOM中的AJAX对来自PHP的不可信数据进行XSS编码?
文件下载-JavaScript中存储的XSS漏洞
相关标签