Mi chiedevo se questa funzione fosse vulnerabile a XSS.
var url = "google.com";
if (url.indexOf("http") != 0) {
url = "http://" + url;
}
$("<a/>").attr("href", url);
L''url' è l'input dell'utente, e <a/> verrebbe inserito in qualche pagina web.
Non sono riuscito a trovare un modo per eseguire il codice javascript su questa funzione. Ma prima di implementarlo, sarebbe bello che qualcuno possa dare un'occhiata.
Cosa fa effettivamente jQuery quando usi attr(name, value) per chiamare setAttribute(name, value) sugli elementi DOM pertinenti. Non a casa nella sorgente jQuery, ma penso che questo sia la parte pertinente . Ciò significa che non puoi sfuggire al contesto dell'attributo. Quindi è sicuro come vaniglia JS è.
Quello di cui hai bisogno è il seguente:
onclick . A meno che tu non faccia il whitelist, lascia che sia l'utente a controllare il valore. href , dato che puoi fare qualcosa come javascript:alert("XSS"); . Altri esempi sono style e gestori di eventi JS. Dato che ti assicuri che il valore inizierà sempre con http , dovresti stare bene, però. Come mostrato nel codice di esempio, non vi è alcuna sanitizzazione dell'utente prima di essere inserita nel codice HTML.
Con l'utilizzo di un payload, ad esempio: domain.com" onmouseenter="alert(1)
Questo andrà dritto al tag e verrà eseguito sul lato client.
Qualsiasi attributo di script valido per quel tag verrà eseguito lato client. Questo stackoverflow ha una funzione per disinfettare l'input in jQuery.
Leggi altre domande sui tag javascript jquery xss