在每个人都告诉我不应该进行客户端清理之前(我确实打算在客户端上进行清理,尽管它也可以在SSJS中运行),让我澄清一下我正在尝试做什么.
我想要一些东西,类似于Google Caja或HTMLPurifier但是对于JavaScript:一种基于白名单的安全方法,它处理HTML和CSS(当然没有插入到DOM中,这不安全,但首先以字符串形式获得)和然后选择性地过滤掉不安全的标签或属性,忽略它们或者可选地将它们包括为转义文本或以其他方式允许它们被报告给应用程序以进行进一步处理,理想情况是在上下文中.如果它可以将任何JavaScript减少到一个安全的子集,如谷歌Caja,那将是很酷的,但我知道这将是一个很大的问题.
我的用例是访问通过JSONP获得的不受信任的XML / XHTML数据(在维基处理之前来自Mediawiki wiki的数据,从而允许原始但不受信任的XML / HTML输入)并允许用户对该数据进行查询和转换(XQuery,jQuery, XSLT等),利用HTML5允许离线使用,IndexedDB存储等,然后可以允许在用户查看输入源并构建或导入其查询的同一页面上预览结果.
用户可以生成他们想要的任何输出,因此我不会清理他们正在做什么 – 如果他们想要将JavaScript注入页面,那么他们的所有权力.但我确实希望保护那些希望能够自信地添加代码的用户,这些代码可以安全地从不受信任的输入中复制目标元素,同时禁止他们复制不安全的输入.
这肯定是可行的,但我想知道是否有任何库已经这样做了.
如果我不能自己实现这个(尽管我在任何一种情况下都很好奇),我想要证明在插入文档之前使用innerHTML或DOM创建/附加是否在各方面都是安全的.例如,如果我第一次运行DOMParser或依赖浏览器HTML解析,使用innerHTML将原始HTML附加到未插入的div,是否会意外触发事件?我相信它应该是安全的,但不确定DOM操作事件是否可能在插入之前以某种方式发生,这可能被利用.
当然,在那之后需要对构造的DOM进行清理,但我只想验证我可以安全地构建DOM对象本身以便于遍历,然后担心过滤掉不需要的元素,属性和属性值.
谢谢!
最佳答案 ESAPI的目的是提供一个简单的界面,以清晰,一致和易于使用的方式提供开发人员可能需要的所有安全功能. ESAPI体系结构非常简单,只是一个类的集合,它封装了大多数应用程序所需的关键安全操作.
OWASP ESAPI的JavaScript版本:http://code.google.com/p/owasp-esapi-js
输入验证非常难以有效地完成,HTML很容易成为有史以来最糟糕的代码和数据混搭,因为有很多可能的地方放置代码和许多不同的有效编码. HTML特别困难,因为它不仅是分层的,而且还包含许多不同的解析器(XML,HTML,JavaScript,VBScript,CSS,URL等).虽然输入验证很重要并且应该始终执行,但它并不是注入攻击的完整解决方案.最好使用转义作为主要防御.我之前没有使用HTML Purifier,但它看起来不错,而且肯定会花费大量的时间和精力.为什么不首先使用他们的解决方案服务器端,然后在此之后应用您想要的任何其他规则.我见过一些黑客只使用[]()的组合来编写代码.这里有100多个例子XSS (Cross Site Scripting) Cheat Sheet和The Open Web Application Security Project (OWASP). DOM based XSS Prevention Cheat Sheet需要注意的一些事情.
HTML Purifier捕获了这种混合编码黑客
<A HREF="h
tt p://6	6.000146.0x7.147/">XSS</A>
而这个DIV背景图像与无线XSS漏洞利用
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
你所反对的一点:所有70种可能的角色组合“<”在HTML和JavaScript中
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
<
\u003C
