在前端的XSS攻击中,直接运用innerHTML属性赋值,脚本绝不会被解析,代码如下:
var html = '<script>alert(100)</script>';
// 里面的脚本绝不会执行,不会弹出100信息
document.body.innerHTML = html;
1. $.html被轻松注入
如果改用JQuery来实现,则出现了令人惊讶的结果,JS代码被轻松注入,代码如下:
var html = '<script>alert(100)</script>';
// 脚本将被执行,弹出100的对话框
$(document.body).html(html);
2. $.append无法注入
按照这样的结论,那是否所有利用JQuery进行DOM操作的API都存在XSS风险呢?试试append:
var html = '<script>alert(100)</script>';
// 里面的脚本也不会执行,很诧异
$(document.body).append(html);
同样的,insert、before、next等接口也是安全的DOM操作。
3. $.load亦被注入
最后再试试load方法:
// script.html文件中的内容为<script>alert(100)</script>
$(document.body).load('/dest/script/script.html')
结论
在jquery中, . h t m l 与 .html与 .html与.load都有被注入脚本的危险,采用这样的方法进行内容操作的第三方插件也会被注入,例如jqGrid的表格内容就存在这样的风险。