Schützen Sie Ihre JavaScript-Anwendungen vor DOM-basierten XSS-Angriffen

Cross-Site-Scripting (XSS)-Angriffe sind eine häufige Schwachstelle in Webanwendungen, und eine der gefährlichsten Arten ist DOM-basiertes XSS. Diese Form von XSS tritt auf, wenn das Document Object Model (DOM) einer Webseite manipuliert wird, um schädliche Skripte auszuführen. In diesem Blog untersuchen wir DOM-basiertes XSS, wie es funktioniert und wie Sie Ihre Anwendungen mit Beispielcode aus der Praxis vor diesen Angriffen schützen können.

Was ist DOM-basiertes XSS?

DOM-basiertes XSS ist eine Art XSS-Angriff, bei dem die Schwachstelle im clientseitigen Code und nicht im serverseitigen Code liegt. Es tritt auf, wenn eine Webanwendung Daten aus einer nicht vertrauenswürdigen Quelle, z. B. Benutzereingaben, verwendet und diese ohne ordnungsgemäße Validierung oder Escape-Funktion in das DOM schreibt. Dies kann zur Ausführung bösartiger Skripte im Kontext der Webseite führen, wodurch Angreifer Daten stehlen, Sitzungen kapern und mehr können.

So funktioniert DOM-basiertes XSS

Lassen Sie uns ein einfaches Szenario aufschlüsseln, um zu verstehen, wie ein Angreifer DOM-basiertes XSS ausnutzen könnte:

Beispiel für eine anfällige Webanwendung
Stellen Sie sich eine einfache Webseite vor, die mithilfe der Benutzereingabe aus dem URL-Hash eine Begrüßungsnachricht anzeigt.

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>DOM-based XSS Example</title>
</head>
<body>
    <div id="message"></div>
    <script>
        // Assume user input is taken from the URL hash
        var userInput = window.location.hash.substring(1);
        // Directly inserting user input into the DOM
        document.getElementById('message').innerHTML = "Hello, " + userInput + "!";
    </script>
</body>
</html>

Wie ein Angreifer die Sicherheitslücke ausnutzt

1. Erstellen einer bösartigen URL: Ein Angreifer kann eine URL erstellen, die bösartigen JavaScript-Code im URL-Hash enthält. Zum Beispiel:

https://xyz.com/#<script>alert('XSS');</script>

2. Weitergabe der schädlichen URL: Der Angreifer gibt diese URL an potenzielle Opfer weiter, die möglicherweise ohne Verdacht darauf klicken. Der Angreifer kann diesen Link per E-Mail, über soziale Medien oder auf andere Weise verbreiten.

3. Ausnutzung der Sicherheitslücke: Wenn ein Opfer die bösartige URL besucht, extrahiert die Webanwendung den Wert aus dem URL-Hash und fügt ihn in das DOM ein. Das bösartige Skript wird im Kontext der Webseite ausgeführt.

Ergebnis: Dem Opfer wird ein Warnfeld mit der Meldung „XSS“ angezeigt, das darauf hinweist, dass das Skript ausgeführt wurde. Bei einem echten Angriff könnte das bösartige Skript Aktionen wie das Stehlen von Cookies, das Erfassen von Tastenanschlägen oder das Umleiten des Benutzers auf eine Phishing-Site ausführen.

<script>
    // User visits: https://xyz.com/#&lt;script&gt;alert('XSS');&lt;/script&gt;
    var userInput = window.location.hash.substring(1);
    document.getElementById('message').innerHTML = "Hello, " + userInput + "!";
    // This results in: Hello, <script>alert('XSS');</script>!
    // The alert will pop up

Verhinderung von DOM-basiertem XSS

Befolgen Sie zum Schutz vor DOM-basiertem XSS die folgenden Best Practices:

1. Benutzereingaben bereinigen und maskieren: Benutzereingaben immer bereinigen und maskieren, bevor sie in das DOM eingefügt werden. Verwenden Sie Bibliotheken wie DOMPurify, um HTML zu bereinigen.

<script src="https://cdnjs.cloudflare.com/ajax/libs/dompurify/2.2.8/purify.min.js"></script>
<script>
    var userInput = window.location.hash.substring(1);
    // Sanitize the user input
    var sanitizedInput = DOMPurify.sanitize(userInput);
    // Insert sanitized input into the DOM
    document.getElementById('message').innerHTML = "Hello, " + sanitizedInput + "!";
</script>

2. Verwenden Sie sichere DOM-Manipulationsmethoden: Anstatt innerHTML zu verwenden, verwenden Sie sicherere Methoden wie textContent oder createElement und appendChild.

<script>
    var userInput = window.location.hash.substring(1);
    var messageDiv = document.getElementById('message');
    // Create a text node with the user input
    var textNode = document.createTextNode("Hello, " + userInput + "!");
    // Append the text node to the message div
    messageDiv.appendChild(textNode);
</script>

3. Inhaltssicherheitsrichtlinie (CSP): Implementieren Sie einen starken CSP, um die Quellen einzuschränken, aus denen Skripte geladen und ausgeführt werden können.

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self';">

DOM-basiertes XSS ist ein kritisches Sicherheitsrisiko, das Ihre Webanwendung und Benutzerdaten gefährden kann. Durch die Befolgung von Best Practices wie der Bereinigung und Unterdrückung von Benutzereingaben, der Verwendung sicherer DOM-Manipulationsmethoden und der Implementierung einer robusten Inhaltssicherheitsrichtlinie können Sie das Risiko DOM-basierter XSS-Angriffe erheblich reduzieren.

Seien Sie wachsam und stellen Sie sicher, dass Ihre JavaScript-Anwendungen vor diesen und anderen Schwachstellen geschützt sind. Wenn Sie Fragen haben oder weitere Hilfe benötigen, können Sie uns gerne in den Kommentaren unten kontaktieren.

Das obige ist der detaillierte Inhalt vonSchützen Sie Ihre JavaScript-Anwendungen vor DOM-basierten XSS-Angriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!