Webkit内核浏览器解析Textarea innerHTML问题

最新推荐文章于 2022-10-10 17:28:10 发布
最新推荐文章于 2022-10-10 17:28:10 发布
阅读量1.1k 收藏 1
点赞数
文章标签: webkit 浏览器 html safari iframe chrome

作者:Xeye Team

这个简述为:获取Textarea标签的innerHTML内容时,内容没有被编码,导致安全隐患产生。  []

为了分析问题我们直接来看webkit的webcore代码吧,通过看Textarea的赋值以及innerHTML方法的绑定来定位问题 —— 因为这两个地方的任意一个地方做处理都会避免问题的发生。

Textarea的赋值实现:html/HTMLTextAreaElement.cpp

WWW.



注意这个过程中除了:  "华西黑客联盟"

normalizedValue.replace("rn", "n");//这个处理虽然简单,但是比较人性化
normalizedValue.replace('r', 'n');

处理之外,并没有进行htmlenocde等格式化,不过这不是问题所在。  [内容来自"华西黑客联盟"]

再来看innerHTML的取值实现:html/HTMLElement.cpp

HTMLElement类产生方法innerHTML:

String HTMLElement::innerHTML() const
{
return createMarkup(this, ChildrenOnly);
}
此调用过程为: 内容来自"华西黑客联盟"

(html/HTMLElement)innerHTML ---> (editing/markup)createMarkup ---> appendMarkup ---> takeResult ---> return m_result

这个方法是所有elements通用方法,因此并不需要htmlencode,这也不是问题。 内容来自"华西黑客联盟"

textarea的innerHTML方法实例化:html/HTMLElement.cpp

[内容来自"华西黑客联盟"]

首先增加标签到tagList:  [内容来自"华西黑客联盟"]



然后添加innerHTML等方法: 内容来自"华西黑客联盟"



这样textarea就具有了innerHTML方法。 www.

因为Textarea的innerHTML是应该被htmlencode的,无论是trident(IE)内核、gecko(FF)内核、presto(OP)内核都证明了这一点,所以此处是一个安全风险点。  []

测试代码如下:

<textarea id='txt'><img src='#'></textarea>
<input value='click' οnclick='doit()' type='button'>

<script>
function doit(){
var t = document.getElementById("txt");
alert('value:'+t.value+'ninnerText'+t.innerText+'ninnerHTML'+t.innerHTML);
}
</script>

所以一些站点如果信任了Textarea的innerHTML返回结果,将会带来很明显的跨站安全隐患或者是挂马隐患。

譬如某大网站做htmlencode采取了如下方式:

<script>
function HTMLEncode(s) {
var html = "";
var safeNode = document.createElement("TEXTAREA");
if (safeNode) {
safeNode.innerText = s;
html = safeNode.innerHTML;
safeNode = null;
}
return html;
}

www.

var tmp = '<iframe src=http://baidu.com>';
alert(HTMLEncode(tmp));
</script>

[]



因为Textarea在html中的权重很高,允许Html标签出现在<textarea></textarea>之间,所以这种做法本没有任何问题,但因为webkit存在此缺陷,导致在Maxthon3.0极速模式、Chrome和Safari所有版本中,本来应该是绝对安全的代码变成了恶意代码并可以随意执行XSS语句。

这也警告一些程序员不要过分追求花哨的语句,还是老老实实地做replace稳妥。这类安全风险是由于不同的浏览器内核对dom的处理不同而造成的,在dom层面上,要警惕这类问题(eg: dom xss)的出现。

感谢byttee爆料!

monyer

ffr225
关注
【Python】高效的Web自动化测试利器—Python+Playwright快速上手自动化实战指南
墩墩分墩
08-16 1529
**Playwright是微软在` 2020 年初 `开源自动化测试工具,功能和 selenium 类似,都可以驱动浏览器进行各种自动化操作。** - 支持主流浏览器,如Chrome、Firefox、Safari 等,同时支持以**无头模式、有头模式**运行,并提供了**同步、异步的 API**,可以结合 `主流测试框架`使用,并且支持浏览器端的自动化脚本录制等功能。 **特点:** - 跨浏览器:Playwright 支持所有现代渲染引擎,包括Chromium、WebKit 和 Firefox; - 跨
前端开发中游览器的兼容问题总结
weixin_45743799的博客
02-07 997
首先,为什么各种浏览器会产生兼容性问题? 产生这个问题的主要原因是市面上的浏览器的种类很多,但由于不同的浏览器内核不一致,从而导致各个浏览器对网页的解析就产生了差异。 对于解决浏览器兼容性问题,我们要从三个方面入手:html部分、css部分、js部分。 1、html部分 1、最突出也是最容易想到的就是高版本的浏览器用了低版本的浏览器无法识别的元素,从而导致不能解析。这点主要体现在html5的新标...
textarea的value与innerHTML
二拾三年
11-16 1536
问题的来由今天有一位朋友问到关于 textarea标签的问题,开始时我不以为意。因为在我看来,因为这是一个很简单的标签,它表示一个可增删字符的文本域,可以利用 textarea 的 placeholder 和 value 属性来做一些适当的操作;用 cols rows 控制 列数,行数(当然,更好是用CSS的width和height)……嗯,就这些了。不过,你可以先看看下面的代码:<textarea
textarea中的innerHtml,innerText和value
weixin_34252686的博客
12-11 1812
记录今天所遇到textarea标签取值的问题 首先创建一个textarea标签 &lt;textarea id="textareaTest" cols="30" rows="10"&gt;我是初始化文本&lt;/textarea&gt; 复制代码此时分别console.log打印innerText,innerHtml,value console.log('innerText:',tex...
textarea标签的innerHTML和innerText
Jinuxwu的专栏
10-11 7157
对于textarea标签,     在IE中,只识别InnerText属性,而不识别innerHTML属性。当在IE中对textarea使用innerHTML将报运行时错误。     在Firefox中,只识别innerHTML属性,而不识别innerText属性。     使用JQuery的val()函数对textarea标签进行操作时,例如             var content = $('#textareaID').val();             $('#textareaID'
textarea 中的 innerHTML 和 value
weixin_33836223的博客
12-28 221
&lt;textarea&gt;&lt;/textarea&gt; &lt;input type="button" value="click" /&gt; &lt;script&gt; document.querySelector("input[type='button']").addEventListener("click", function() {
关于textareainnerHTML和value
boooch的专栏
09-15 2049
顾名思义:要想显示html效果,就要用innerHTML,如果只是赋值,就用value好了。但是innerHTML似乎不显示回车效果,用,/n都不行,如果谁有好的方法,可以告诉偶哦~value就可以用/n轻松的添加回车了。但是不要试图添加value在textarea中,这是无效的,参见如下代码:PS:textareahtml中书写时不要照顾格式对齐之类的 否则会把那些空格tab啥的 全都包含到innerHTML中,容易判断失误。PS:onclick事件在js中书写规矩是obj.onclick=某funct
5 Vue+html css 问题(西安10.9)
最新发布
harvestUachieve的博客
10-10 1288
数据响应式原理的核心就是采用了数据劫持结合发布者-订阅者模式的方式来实现数据的响应式,通过Object.defineProperty()对数据进行拦截,把这些属性全部转换成getter/setter,get()方法可以读取数据、收集依赖,set()方法可以改写数据,在数据变动时会对数据进行比较,如果数据发生了变化,会发布消息通知订阅者,触发监听回调,更新视图。watch监听的数据必须是data中声明过或父组件传递过来的props中的数据,当数据变化时,触发监听器。的操作,比如改变宽高,隐藏节点等。
2020年史上最全移动端Web整理从开发基础到实战(一)
weixin_45992710的博客
12-12 377
一、基础知识 1、屏幕 移动设备与PC设备最大的差异在于屏幕,这主要体现在屏幕尺寸和屏幕分辨率两个方面。 通常我们所指的屏幕尺寸,实际上指的是屏幕对角线的长度(一般用英寸来度量)。 而分辨率则一般用像素来度量 px,表示屏幕水平和垂直方向的像素数,例如 1920*1080 指的是屏幕垂直方向和水平方向分别有1920和1080个像素点而构成。 2、长度单位 在Web开发中可以使用px(像素)、em...
html加载富文本_HTML基础
weixin_39830323的博客
11-19 2186
主流浏览器内核IE/Edge - TridentFireFox - GeckoSafari - WebkitChrome - Webkit 升级到 BlinkOpera - Presto 升级到 Webkit 升级到 BlinkHTMLHTML叫做超文本标记语言(Hypertext Markup Language) ,用于搭建网页的结构HTML是一种纯文本格式的文件,内部只能书写文字内容,不能添加...
Webkittextarea的设定
weixin_30950887的博客
07-10 90
使用chrome浏览器或者safari浏览器,经常会发现自己的textarea很奇怪,可以拖动放大缩小,而且还有个奇怪的边。最初我们遇到这类问题的时候,直接给设计交代说那是浏览器的特性,俺们管不着,结果人家拿来google做例子,我们做开发的无话可说。但美工也不知道怎么做,只好开发人员硬着头皮去比较google的源码去研究。也没啥好方法,一个一个尝试呗。 其实找到以后也很简单,这里记录下,免得忘...
htmltextarea标签的innerHTML属性和value属性获取值的区别
程序羊的博客
10-18 881
注意: htmltextarea标签的innerHTML属性和value属性获取值是不一致的! 示例代码如下: <html> <body> <textarea rows="10" cols="20" id="my"> AAA </textarea> <button onClick="test()">test</button...
webkitinnerHTML属性的实现
weixin_34160277的博客
11-19 122
innerHTMLHTML5的一个标准属性,js用户既可以读也可以写,下面我们主要讲一下在设置innerHTML的时候,webkit中是如何实现该属性(具体的用法可以参照规范) 1. 写 首先Webkit中引入了一个数据结构叫DocumentFragment,翻译成中文是“文档片段”的意思,其实就是只一个非完整的html页面, 该数据结构的继承关系如下: 可以见...
textarea标签value与innerHTML
Cosmoshfx的博客
03-10 859
textarea标签没有value属性,若想在文本区显示默认文本,可以直接写,如下: <textarea cols="30" rows="10" name="文本区" id="area">你好呀</textarea> 或在js中使用 document.getElementById('area').value='你好呀‘ 都可以在文本区显示输入的文字,如下图所示: 但是不能使用.innerHTML进行赋值,是无效的,我也不太明白为什么,只知道是这样的结果,有大神知道的话麻烦评论哈。
webkit关键代码浏览——HTML解析
愤怒的菜鸟
02-19 2597
基础概念就不多说了,直接进入正题,HTML解析这部分我主要关注了6点:1. 词法解析 2. 语法解析 3. 容错机制 4. DOM树构建 5. Render树构建 6. 查看DOM树和Render树
webkit 常用操作代码调用流程
管子(zero)的杂乱空间
12-29 154
构造 HTML/XML tokenizer [HTML]Document::createTokenizer() [HTML]Document::implicitOpen() FrameLoader::begin(const KURL&amp;, bool dispatch, SecurityOrigin*) FrameLoader::receivedFirstData(...
IE中innerhtml无法正常使用
李厂长的自留地
07-30 6596
<br />var option="";<br /> for(var i=0;i<3;i++)<br /> {<br />        option += "<option value='1'>1</option>"<br /> }<br /> document.getElementById('subSelect').innerHTML=option;<br /> alert(document.getElementById('subSelect').innerHTML)<br /><br />
如何获取textarea中的内容innerhtml、innerText还是value?
热门推荐
microcosmv的博客
02-19 1万+
答案:value。 注意:form 里的Dom元素(input select checkbox textarea radio)都是value
网页制作基础:HTML与常见浏览器解析
主流的浏览器包括Internet Explorer(使用Trident内核)、Firefox(使用Gecko内核)、ChromeSafari(两者均基于Blink内核,原先是Webkit内核)、Opera(早期使用Presto内核,现采用Blink内核)。浏览器市场份额的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值