DOM-based XSS in jQuery

本文介绍了几种可能被 XSS 攻击的 jQuery 使用方法。

$

咱们常常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素，但若是这个字符串是来自用户输入的话，那么这种方式就是有风险的。

先看一个 DEMO：http://jsbin.com/duwuzonife/1/edit?html,js,output

javascript$("<img src='' onerror='alert();'>");

当用户输入的字符串是像这样的时，虽然这个 <img> 元素不会立刻被插入到网页的 DOM 中，但这个 DOM 元素已经被建立了，而且暂存在内存里。而对于 <img> 元素，只要设置了它的 src 属性，浏览器就会立刻请求 src 属性所指向的资源。咱们也能够利用这个特性作图片的预加载。在上面的示例代码中，建立元素的同时，也设置了它的属性，包括 src 属性和 onerror 事件监听器，因此浏览器会立刻请求图片资源，显然请求不到，随机触发 onerror 的回调函数，也就执行了 JavaScript 代码。

推荐阅读 $ 的官方文档：http://api.jquery.com/jQuery/

相似的其余方法

javascript.after()
.append()
.appendTo()
.before()
.html()
.insertAfter()
.insertBefore()
.prepend()
.prependTo()
.replaceAll()
.replaceWith()
.unwrap()
.wrap()
.wrapAll()
.wrapInner()
.prepend()

以上这些方法不只建立 DOM 元素，而且会立刻插入到页面的 DOM 树中。若是使用 <script> 标签插入了内联 JS 会当即执行。

不安全的输入来源

javascriptdocument.URL *
document.location.pathname *
document.location.href *
document.location.search *
document.location.hash
document.referrer *
window.name
document.cookie

document 的大多数属性均可以经过全局的 window 对象访问到。加 * 的属性返回的时编码 （urlencode） 后的字符串，须要解码才可能形成威胁。

不安全的操做

把能够被用户编辑的字符串，用在如下场景中，都是有隐患的。整体来讲，任何把字符串做为可执行的代码的操做，都是不安全的。

经过字符串建立函数

• eval
• new Function
• setTimeout/setInterval

跳转页面

• location.replace/location.assign

修改 <script> 标签的 src 属性
修改事件监听器

总结

若是发生在用 jQuery 时被 DOM-XSS 攻击的状况，大可能是由于忽视了两个东西：
1. 在给$传参数时，对参数来源的把控。
2. 用户的输入途径不仅有表单，还有地址栏，还能够经过开发者工具直接修改 DOM ，或者直接在控制台执行 JS 代码。

索引

本文不少信息来自于如下几篇文章，推荐进一步阅读。
http://ma.la/jquery_xss/
http://erlend.oftedal.no/blog/?blogid=127
http://sec.omar.li/2012/05/overview-of-dom-xss.html