Sto implementando un client RSS in cui gli utenti possono selezionare i feed e visualizzarli in un unico posto.
Ho notato che alcuni feed RSS hanno HTML nell'elemento description. Questo significa che alcuni feed potrebbero contenere javascript potenzialmente dannosi?
C'è un modo sicuro per visualizzare l'HTML del feed? O dovrei sempre presumere che potrebbe essere dannoso?
Esempio:
<description>
<script>
window.location.href='http://fakebook.com'
</script>
</description>
Puoi semplicemente disabilitare javascript. Non c'è davvero una buona ragione per cui gli articoli nei feed RSS dovrebbero usarlo.
Le funzionalità dipendono da come viene mostrato l'html. Non credo che gli attacchi provenienti da fonti di feed importanti sarebbero una grande preoccupazione, ma potrebbero essere in linea annunci che potrebbero essere cattivi. Il vettore più grande incorporerebbe feed di siti più piccoli senza i controlli di cui dispongono i grandi giocatori; Ho visto un sacco di RSS "costruiti a mano" e mi vergogno di ciò che potrebbe farcela attraverso una pipeline di ingenui.
In termini di visualizzazione, è possibile disinfettarlo lato client con una lib, alcuni RegExps o con controlli di user-agent, a seconda dell'agent. In un browser, è possibile utilizzare semplicemente un CSP (policy di sicurezza del contenuto) per proteggersi dall'inclusione dello script, inclusi gli fastidiosi eventi basati su attributi.
I browser incorporati potrebbero non supportare le opzioni CSP, quindi se questo è il caso, sanitizzalo molto bene. Di solito puoi utilizzare il DOM di un browser incorporato per trasformare in modo sicuro la markup in testo (imposta innerHTML, leggi innerText), che rimuove tutte le caratteristiche HTML come link e immagini, ma garantisce sicurezza.
Leggi altre domande sui tag xss