jQuery导致的XSS跨站漏洞
前言
昨天早上一看到报的问题就惊呆了,还能好好用JQ吗?今日早读文章由@我是离心授权分享。
正文从这开始~
1.1. jQuery 1.6.1
1.6.1版本的jQuery代码正则为:
quickExpr = /^(?:[^<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/,此处正则表达式存在缺陷,导致产生Dom型XSS 漏洞。
1.2. jQuery 1.7.2
1.7.2版本的jQuery代码正则为:
quickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/,
1.3. jQuery 1.11.2
jQuery 1.11.3版本的jQuery代码正则为:
rquickExpr = /^(?:\s*(<[\w\W]+>)[^>]*|#([\w-]*))$/,仍然可以被绕过:
1.4. jQuery 2.x
jQuery 2.x版本的jQuery代码正则为:
rquickExpr = /^(?:#([\w-]+)|(\w+)|\.([\w-]+))$/,通过调试即可发现 Chrome 未对 location.hash 部分进行 URL 编码处理进入函数,而 Safari 会经过 URL 编码进入函数。
rquickExpr = /^(?:#([\w-]+)|(\w+)|\.([\w-]+))$/,
依然可以使用html5 的一些特性,引发错误并onerror 弹框:
1.5. 结论
目前最新版本的jQuery有2个版本,分别是1.11.3和2.1.4,其中1.11.3支持低版本IE浏览器,2.1.4的不支持低版本IE浏览器,但这2个版本的jQuery目前的正则表达式都无法完善的过滤危险字符,依然会引起DOM型的XSS跨站漏洞。
1.6. 安全建议
临时解决方案:
暂时隐藏jQuery版本信息,避免被攻击者识别出版本号;
为应用系统制定统一的、影响全局的危险字符黑名单,发现输入中存在危险字符时直接返回固定的错误页面。
正式解决方案:
等待jQuery发布新的修复版本后升级。
漏洞官方修复介绍:https://bugs.jquery.com/ticket/9521
往期精选文章 |
|---|
ES6中一些超级好用的内置方法 |
浅谈web自适应 |
使用Three.js制作酷炫无比的无穷隧道特效 |
一个治愈JavaScript疲劳的学习计划 |
全栈工程师技能大全 |
WEB前端性能优化常见方法 |
一小时内搭建一个全栈Web应用框架 |
干货:CSS 专业技巧 |
四步实现React页面过渡动画效果 |
让你分分钟理解 JavaScript 闭包 |
小手一抖,资料全有。长按二维码关注京程一灯,阅读更多技术文章和业界动态。