专栏名称: 前端早读课
我们关注前端,产品体验设计,更关注前端同行的成长。 每天清晨五点早读,四万+同行相伴成长。
目录
相关文章推荐
言鼎动作学苑  ·  FMS课堂实录-张丹玥 | FMS 筛查的次数 ·  2 天前  
言鼎动作学苑  ·  FMS课堂实录-张丹玥 | FMS 筛查的次数 ·  2 天前  
前端大全  ·  两款知名国产前端开源项目被“投毒” ·  4 天前  
前端早读课  ·  【早阅】GitHub Copilot最佳实践 ·  3 天前  
奇舞精选  ·  小型 Vue 项目,该不该用 Pinia ... ·  4 天前  
前端早读课  ·  【第3434期】VSCode 推出 ... ·  4 天前  
51好读  ›  专栏  ›  前端早读课

【第1043期】jQuery导致的XSS跨站漏洞

前端早读课  · 公众号  · 前端  · 2017-08-31 05:07

正文

前言

昨天早上一看到报的问题就惊呆了,还能好好用JQ吗?今日早读文章由@我是离心授权分享。

正文从这开始~

1.1. jQuery 1.6.1

1.6.1版本的jQuery代码正则为:

quickExpr = /^(?:[^)[^>]*$|#([\w\-]*)$)/,

此处正则表达式存在缺陷,导致产生Dom型XSS 漏洞。


1.2. jQuery 1.7.2

1.7.2版本的jQuery代码正则为:

quickExpr = /^(?:[^#)[^>]*$|#([\w\-]*)$)/,




1.3. jQuery 1.11.2

jQuery 1.11.3版本的jQuery代码正则为:

rquickExpr = /^(?:\s*()[^>]*|#([\w-]*))$/,

仍然可以被绕过:


1.4. jQuery 2.x

jQuery 2.x版本的jQuery代码正则为:

rquickExpr = /^(?:#([\w-]+)|(\w+)|\.([\w-]+))$/,

通过调试即可发现 Chrome 未对 location.hash 部分进行 URL 编码处理进入函数,而 Safari 会经过 URL 编码进入函数。

rquickExpr = /^(?:#([\w-]+)|(\w+)|\.([\w-]+))$/,


依然可以使用html5 的一些特性,引发错误并onerror 弹框:


1.5. 结论

目前最新版本的jQuery有2个版本,分别是1.11.3和2.1.4,其中1.11.3支持低版本IE浏览器,2.1.4的不支持低版本IE浏览器,但这2个版本的jQuery目前的正则表达式都无法完善的过滤危险字符,依然会引起DOM型的XSS跨站漏洞。

1.6. 安全建议

临时解决方案:

暂时隐藏jQuery版本信息,避免被攻击者识别出版本号;

为应用系统制定统一的、影响全局的危险字符黑名单,发现输入中存在危险字符时直接返回固定的错误页面。

正式解决方案:

等待jQuery发布新的修复版本后升级。

漏洞官方修复介绍:https://bugs.jquery.com/ticket/9521

最后,为你推荐:

【第924期】了解XSS

【第679期】JavaScript防http劫持与XSS


关于本文

作者:@我是离心

原文:https://zhuanlan.zhihu.com/p/27910130