Új hozzászólás Aktív témák

• nevemfel senior tag

  #9053

  #9049 Silεncε

  2021-12-19 00:00:07

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  nevemfel

  senior tag

  #9049 Silεncε

  #9049 Silεncε

  innerHTML propertyvel tudsz beágyazni html-t anélkül, hogy escapelni kellene, és a böngésző nem fogja végrehajtani a beágyazott scripteket.

  Na várj, innerHTML esetén ugyanúgy lehetséges XSS, nem?

  Igazad van, az innerHTML sem biztonságos:

  There is one built-in safeguard in place, though. Just injecting a script element won’t expose you to attacks, because the section of the DOM you’re injecting into has already been parsed and run.
  
  // This won't execute
var div = document.querySelector('#some-div');
div.innerHTML = '<script>alert("XSS Attack");</script>';

  JavaScript that runs at a later time, though, will.

  // This WILL run
div.innerHTML = '<script deferred>alert("XSS Attack");</script>';
// This will, too
div.innerHTML = '<img src=x onerror="alert(\'XSS Attack\')">';

  [link]

  Ez a megoldás viszont ígéretesnek tűnik:

  If the third-party content is allowed to contain markup, a helper library like DOMPurify will remove any markup that’s not part of a secure whitelist before injecting it.

• nevemfel senior tag

  #9051

  #9049 Silεncε

  2021-12-18 23:54:27

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  nevemfel

  senior tag

  #9049 Silεncε

  #9049 Silεncε

  innerHTML propertyvel tudsz beágyazni html-t anélkül, hogy escapelni kellene, és a böngésző nem fogja végrehajtani a beágyazott scripteket.

  Na várj, innerHTML esetén ugyanúgy lehetséges XSS, nem?

  Lehetséges, bár leutóbbi emlékeim szerint nekünk pont az volt a problémánk, hogy innerHTML esetén a htmlbe belinkelt, vagy beágyazott script nem hajtódott végre. De már rég foglalkoztam a témával, szóval majd utánanézek ennek.

Új hozzászólás Aktív témák