首页
/ DOMPurify 项目中关于数据URI潜在XSS漏洞的分析与防护建议

DOMPurify 项目中关于数据URI潜在XSS漏洞的分析与防护建议

2025-05-15 06:47:25作者:仰钰奇
DOMPurify
DOMPurify - a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify works with a secure default, but offers a lot of configurability and hooks. Demo:
项目地址:https://gitcode.com/gh_mirrors/do/DOMPurify

数据URI的安全风险概述

在HTML净化库DOMPurify中,存在一个值得关注的安全问题 - 某些HTML标签允许使用数据URI(data URI)作为属性值。这种特性虽然在某些场景下很有用,但也可能被不当利用,成为安全攻击或网络欺诈的载体。

技术原理分析

数据URI允许开发者将小型文件直接嵌入到文档中,格式通常为:

data:[<mediatype>][;base64],<data>

在DOMPurify的默认配置中,以下HTML标签允许使用数据URI:

  • <img>标签的src属性
  • <video>标签的src属性
  • <audio>标签的src属性
  • <source>标签的src属性

攻击者可以构造特殊的数据URI,在其中嵌入不当脚本或重定向代码。例如:

<img src="data:text/html;base64,PHNjcmlwdD53aW5kb3cubG9jYXRpb24ucmVwbGFjZSgiaHR0cHM6Ly93d3cuZ29vZ2xlLmNvbSIpOzwvc2NyaXB0Pg==">

当用户在新标签页中打开这类元素时,嵌入的JavaScript代码会被执行,可能导致:

  1. 自动重定向到欺诈网站
  2. 执行不当脚本
  3. 获取用户隐私信息

实际影响评估

这种攻击方式特别在电子邮件场景中具有较高风险。主流邮件服务如Gmail已经将包含此类数据URI的邮件标记为可疑内容,自动放入垃圾邮件文件夹并显示警告。

虽然DOMPurify开发团队认为这超出了其威胁模型的范畴(主要关注XSS防护而非钓鱼防护),但对于需要处理用户生成内容的应用,特别是邮件系统,这仍然是一个需要重视的安全问题。

解决方案与防护建议

对于需要严格安全控制的场景,建议采取以下防护措施:

  1. 使用钩子函数过滤数据URI 可以通过DOMPurify提供的afterSanitizeAttributes钩子,实现对数据URI的过滤:
DOMPurify.addHook('afterSanitizeAttributes', function(node) {
    // 检查所有可能包含URI的属性
    const uriAttributes = ['src', 'href', 'xlink:href', 'action'];
    
    uriAttributes.forEach(attr => {
        if (node.hasAttribute(attr)) {
            const value = node.getAttribute(attr);
            if (value.startsWith('data:')) {
                node.removeAttribute(attr);
            }
        }
    });
});
  1. 扩展属性检查范围 除了常见的src属性外,还应检查以下属性:
  • href
  • xlink:href
  • action
  • 其他可能接受URI的自定义属性
  1. 建立URI方案白名单 更精细的控制可以通过建立允许的URI方案白名单实现:
const ALLOWED_SCHEMES = ['http', 'https', 'ftp'];

DOMPurify.addHook('afterSanitizeAttributes', function(node) {
    const uriAttributes = ['src', 'href', 'xlink:href', 'action'];
    
    uriAttributes.forEach(attr => {
        if (node.hasAttribute(attr)) {
            const value = node.getAttribute(attr);
            const scheme = value.split(':')[0].toLowerCase();
            
            if (!ALLOWED_SCHEMES.includes(scheme)) {
                node.removeAttribute(attr);
            }
        }
    });
});

总结与最佳实践

虽然数据URI在某些场景下很有用,但在安全敏感的环境中应当谨慎处理。对于需要处理不可信HTML输入的应用,特别是邮件系统、论坛等UGC平台,建议:

  1. 评估是否真的需要支持数据URI
  2. 如无必要,完全禁用数据URI
  3. 如需支持,实施严格的过滤机制
  4. 结合其他安全措施,如CSP(内容安全策略)

通过合理配置DOMPurify并结合自定义钩子函数,开发者可以在保持功能性的同时,有效防范这类潜在的安全风险。

DOMPurify
DOMPurify - a DOM-only, super-fast, uber-tolerant XSS sanitizer for HTML, MathML and SVG. DOMPurify works with a secure default, but offers a lot of configurability and hooks. Demo:
项目地址:https://gitcode.com/gh_mirrors/do/DOMPurify
登录后查看全文

相关内容推荐

1 DOMPurify项目新增Matrix协议URI支持的技术解析2 DOMPurify 3.2.6版本发布:安全净化库的防御升级3 DOMPurify中正则表达式全局标志导致的安全过滤问题分析4 DOMPurify 3.2.5版本发布:强化XSS防御与现代开发支持5 ReDoc项目中的XSS防护机制解析6 html2pdf.js 项目中关于Dompurify安全问题的修复分析7 Redoc项目升级DOMPurify依赖以修复安全漏洞8 Redoc项目中的HTML标签渲染与XSS防护机制解析9 Postgres-AI数据库引擎中DOMPurify安全风险分析与应对方案10 XSS Hunter Express:快速搭建盲XSS漏洞检测平台
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
26
10
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
441
3.35 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
819
395
pytorchpytorch
Ascend Extension for PyTorch
Python
249
285
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
276
329
flutter_flutterflutter_flutter
暂无简介
Dart
701
164
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
10
1
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
140
50
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.24 K
678
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
555
111