专栏首页京程一灯jQuery导致的XSS跨站漏洞

jQuery导致的XSS跨站漏洞

前言

昨天早上一看到报的问题就惊呆了,还能好好用JQ吗?今日早读文章由@我是离心授权分享。

正文从这开始~

1.1. jQuery 1.6.1

1.6.1版本的jQuery代码正则为:

quickExpr = /^(?:[^<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/,

此处正则表达式存在缺陷,导致产生Dom型XSS 漏洞。

1.2. jQuery 1.7.2

1.7.2版本的jQuery代码正则为:

quickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/,

1.3. jQuery 1.11.2

jQuery 1.11.3版本的jQuery代码正则为:

rquickExpr = /^(?:\s*(<[\w\W]+>)[^>]*|#([\w-]*))$/,

仍然可以被绕过:

1.4. jQuery 2.x

jQuery 2.x版本的jQuery代码正则为:

rquickExpr = /^(?:#([\w-]+)|(\w+)|\.([\w-]+))$/,

通过调试即可发现 Chrome 未对 location.hash 部分进行 URL 编码处理进入函数,而 Safari 会经过 URL 编码进入函数。

rquickExpr = /^(?:#([\w-]+)|(\w+)|\.([\w-]+))$/,

依然可以使用html5 的一些特性,引发错误并onerror 弹框:

1.5. 结论

目前最新版本的jQuery有2个版本,分别是1.11.3和2.1.4,其中1.11.3支持低版本IE浏览器,2.1.4的不支持低版本IE浏览器,但这2个版本的jQuery目前的正则表达式都无法完善的过滤危险字符,依然会引起DOM型的XSS跨站漏洞。

1.6. 安全建议

临时解决方案:

暂时隐藏jQuery版本信息,避免被攻击者识别出版本号;

为应用系统制定统一的、影响全局的危险字符黑名单,发现输入中存在危险字符时直接返回固定的错误页面。

正式解决方案:

等待jQuery发布新的修复版本后升级。

漏洞官方修复介绍:https://bugs.jquery.com/ticket/9521


往期精选文章

ES6中一些超级好用的内置方法

浅谈web自适应

使用Three.js制作酷炫无比的无穷隧道特效

一个治愈JavaScript疲劳的学习计划

全栈工程师技能大全

WEB前端性能优化常见方法

一小时内搭建一个全栈Web应用框架

干货:CSS 专业技巧

四步实现React页面过渡动画效果

让你分分钟理解 JavaScript 闭包



小手一抖,资料全有。长按二维码关注京程一灯,阅读更多技术文章和业界动态。

本文分享自微信公众号 - 京程一灯(jingchengyideng)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-09-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 都9102年了,还需要用到 jQuery 吗?[每日前端夜话0xB4]

    关于 jQuery 这个流行的 JavaScript 库如何死亡的问题一直在不断的被讨论。

    疯狂的技术宅
  • 只会用jQuery前端到底low不low?

    如果你之前没有看过我的《前端工程师如何月薪过4万》这里建议大家仔细读读,因为里面有整个前端工程师成长的技术路线图和我的故事。同时很多小伙伴问我的...

    疯狂的技术宅
  • 更多的 JavaScript 控制台功能

    你可能在 JavaScript 项目中用了console.log。这是一种查看变量值或程序运行中发生的事情的便捷方法。但是 JavaScript console...

    疯狂的技术宅
  • 我们到底需不需要 jQuery

    曾经,在那个 IE6 还是主流浏览器的时代,为了实现稍微复杂一点的功能,也需要很多代码。如果要做到兼容主流浏览器,更需大费周章。当 jQuery 出现后,使用 ...

    用户2930719
  • 前端基础-jQuery简介

    JavaScript开发的过程中,处理浏览器的兼容很复杂而且很耗时,于是一些封装了这些操作的库应运而生。这些库还会把一些常用的代码进行封装。

    cwl_java
  • 2019 年了,为什么我还在用 jQuery?

    为了保证可读性,本文采用意译而非直译。翻译仅供学习探讨,不代表 Fundebug 观点。

    Fundebug
  • jquery学习笔记1

    // 核心方法 // 回调系统 // 异步队列 // 数据缓存 // 队列操作 // 选择器引 ...

    lilugirl
  • 超实用的jQuery代码段

    本书精选近350个jQuery代码段,涵盖页面开发中绝大多数要点、技巧与方法,堪称史上最实用的jQuery代码参考书,可以视为网页设计与网站建设人员的好帮手。本...

    用户3157710
  • 从零开始学 Web 之 jQuery(一)jQuery的概念,页面加载事件

    JavaScript 开发的过程中,处理浏览器的兼容很复杂而且很耗时,于是一些封装了这些操作的库应运而生。这些库还会把一些常用的代码进行封装。

    Daotin
  • jQuery架构设计与实现(2.1.4版本)

    貟王軍

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动