前端漏洞扫描工具报XSS风险,但我用了DOMPurify啊?
最近用公司内部的漏洞扫描工具扫了下项目,结果提示有个输入框存在XSS风险。可我明明已经用 DOMPurify 对用户输入做了清洗,不知道问题出在哪。
我的代码大概是这样:
<div id="user-content"></div>
<script>
const userInput = new URLSearchParams(window.location.search).get('msg');
const clean = DOMPurify.sanitize(userInput);
document.getElementById('user-content').innerHTML = clean;
</script>是不是 DOMPurify 配置不对?还是说 innerHTML 本身就危险,就算清洗过也不行?
- 1
回答
10浏览
前端项目中如何用SAST工具检测XSS漏洞?
最近在做安全开发生命周期的实践,想在CI里集成SAST工具自动扫描XSS问题。但试了几个工具(比如SonarQube、ESLint插件)都没能准确识别出我这段模板里的危险用法,是我写法太隐蔽还是配置不...
- 1
回答
26浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
- 2
回答
66浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
- 2
回答
280浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
- 2
回答
89浏览
使用前端框架时漏洞扫描工具提示XSS漏洞该怎么处理?
我在项目里用Vue写了一个富文本展示组件,用v-html渲染后台返回的内容,漏洞扫描工具提示存在反射型XSS漏洞。我尝试过用String.prototype.replace过滤尖括号,但扫描结果还是报...
- 2
回答
113浏览
修复XSS漏洞后怎么验证是否彻底解决了?
刚处理完前端页面的XSS漏洞,用两个不同工具测试结果却不一样,一个显示干净一个还能注入,这时候该怎么确认漏洞到底修好了没? 之前在评论区输入,修复后用OWASP ZAP扫描没问题,但自己手动测试居然还...
- 1
回答
11浏览
DOMPurify 清洗后为啥还是能执行 XSS?
我用 DOMPurify 处理用户输入的 HTML,但发现某些脚本居然还能执行,是不是我用错了? 比如这段代码: const dirty = '<img src=x onerror=alert(...
- 1
回答
104浏览
前端应急响应时如何快速定位XSS漏洞的攻击入口?
最近在处理一个紧急安全事件,发现有人利用表单提交功能注入了XSS脚本。我们用了OWASP ZAP扫描,但始终找不到具体漏洞点。前端代码里有个动态渲染的评论区,像这样: <div id="comm...
- 1
回答
49浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...
- 2
回答
50浏览
安全需求文档该怎么写才能防XSS漏洞?
我们在做用户评论功能时,测试发现XSS漏洞,但安全需求文档里只写了“过滤危险字符”,具体该怎么做才能有效防范呢? 之前尝试用正则表达式过滤了<script>标签和特殊字符,但测试人员用Un...
很多静态扫描工具比较"傻",只要看到 innerHTML 就会报警告,它根本不会去分析你前面是不是已经做过清洗了。这种工具我见多了,动不动就报一堆误报,然后还得我们一个个去确认,累得很。
你可以手动测试一下,试试输入类似
或者
不过有一点要注意,确保 DOMPurify 库确实被正确加载了。如果脚本加载失败或者顺序有问题,
DOMPurify.sanitize可能直接报错或者返回 undefined,那 innerHTML 就真的危险了。可以在控制台打印一下typeof DOMPurify确认一下。如果你想让扫描工具闭嘴,可以考虑用
textContent或innerText替代 innerHTML,但这样就没法渲染富文本了。如果你的业务确实需要渲染 HTML 标签,那 innerHTML 配合 DOMPurify 就是标准做法,扫描工具报就报吧,写个说明文档解释一下就行。希望能帮到你!