我正在尝试使用 DOMPurify 修复跨端脚本(XSS)。发现的漏洞位于以下 URL 中。 https://stage-xyzmysite.com/login/?rUrl=javascript:alert('hi') 。我正在尝试做一个简单的 POC,它将尝试消除 javascript 警报部分。我尝试使用 DOMPurify.sanitize(< the url here > ) 。我期待看到 javascript 部分被删除,但它没有发生。如果我在 URL 中包含带有标签的警报,那么它就会被消除。我应该使用其他特殊配置吗?
DOMPurify 会清理您的 HTML,它必须是 HTML,否则任何人点击链接都会有风险。如果您只是像文本一样打印它,则不存在用户点击链接并被注入的风险。
这是一篇关于 HTML 中的 XSS 的文章,其中包含有关如何使用 DOMPurify 的示例,以防它对您有所帮助 https://writingjavascript.com/keep-your-html-output-secure-and-clean-from-xss-javascript-注射