URL

URL

关注
发信
javascript - 为用TypeScript编写的React组件生成PropTypes
Eclipse Segfault(OSX)
ruby-on-rails-3 - 使用Spork运行RSpec测试后,SimpleCov报告未在Rails 3应用程序中生成
javascript - 使用javascript边框颜色消失
javascript - 另一个对象内的对象初始化
javascript - 如何从在forEach中创建的具有不同值的隐藏字段中获取值?
javascript - 通过Javascript访问OAuth 2的Location header 的URL片段
python - 在 Python 中将列表转换为元组
html - .tab-当前CSS定义
visual-studio - posh-git 不在包管理器控制台中显示分支
javascript - 咆哮+ ctx分析仪问题
html - SVG Fallback在标准中工作,但不适用于IE8,IE9怪癖
html5 - 在同一行中并排对齐文本字段和按钮
html - 可以将<span>设置为可点击的链接吗?
c# - 如何在LINQ-TO-SQL中从ExecuteQuery()映射一个额外字段但如何保留LINQ实体

javascript - 使用Javascript的CreateElement时防止XSS攻击

扫码查看

我公司的合作伙伴通过动态生成的iframe将一些网页嵌入到他们的网站中。 iframe的源URL来自合作伙伴站点上的查询字符串,因此,我想确保没有跨站点脚本攻击的风险,因为我们将不受信任的输入用作iframe的源。

源URL始终是一个相对URL(我们的主机名在Javascript中进行了硬编码,并且前缀在相对URL之前),并且我们对输入URL进行了一些验证,以确保它以“ index.php”开头,因为所有请求都已路由通过我们网站上的该页面。例如,如果在客户端站点上访问了以下URL:

www.ourpartner.com/home.html?url=index.php%3Fid%3D999


iframe的源URL为http://www.oursite.com/index.php?id=999。 iframe是使用createElement在Javascript中生成的,如下所示:

...
// We assign the url value from the query string to the variable urlparam

if(! urlparam.match(/^index\.php/i) ) {
    // Error.  Quit.
}
var myiframe = document.createElement('iframe');
myiframe.src = 'http://www.oursite.com/' + urlparam;
document.getElementById('iframe_container').appendChild(myiframe);


攻击者是否有机会向iframe的源中注入恶意URL?浏览器似乎会转义可能出现在URL中的所有HTML实体,例如双引号和左/右尖括号。我们是否应该对URL采取进一步的预防措施?

谢谢!

最佳答案

不,这很好。

处理诸如.src之类的DOM属性时,不涉及任何标记。您正在直接将字符串写入字符串属性。如果要将值封装在标记中,则只需要担心HTML转义,例如,在写入innerHTMLdocument.write()时。

关于javascript - 使用Javascript的CreateElement时防止XSS攻击,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/3935744/

10-12 00:10
查看更多
Powered by LMLPHP ©2025 URL 0.044815