html2pdf.js项目安全风险CVE-2020-7691的技术分析与应对方案

风险背景

近期在html2pdf.js项目中集成的jspdf 2.5.1版本被发现存在一个中危安全风险（CVE-2020-7691），该风险的CVSS评分为6.1分。该风险本质上是一个XSS（跨站脚本）注入风险，攻击者可以通过构造特殊的<<script>script>标签绕过原有的过滤正则表达式。

技术细节分析

该风险最初报告于jspdf库的fromHTML方法中。这个方法的HTML解析逻辑存在缺陷，未能正确处理嵌套的script标签。当用户输入包含特制payload时，可能导致恶意脚本在PDF生成过程中被执行。

然而，经过项目维护者的深入调查，发现几个重要事实：

1. 存在风险的fromHTML方法早在2018年就被标记为废弃(deprecated)
2. 在当前版本的jsPDF中，该方法已被完全移除
3. html2pdf.js实际使用的是html方法作为替代方案，而这个方法是基于htmlpdf.js的独立实现

实际影响评估

虽然CVE编号存在，但实际对html2pdf.js项目的影响有限，因为：

• 风险方法已不存在于当前代码库
• 项目核心功能仅使用了addPage、addImage、output和save等安全方法
• 现代版本已经采用了更安全的HTML处理方式

开发者建议

对于仍在使用旧版本的用户，建议采取以下措施：

1. 确保升级到最新版本的html2pdf.js和jspdf
2. 审查项目中是否直接调用了不安全的fromHTML方法
3. 对所有用户输入进行严格的过滤和转义处理
4. 考虑使用CSP(内容安全策略)等额外防护措施

总结

虽然CVE-2020-7691在理论上是存在的安全风险，但由于相关代码已在现代版本中被移除，实际风险已经大大降低。开发者应当保持依赖库的及时更新，并遵循安全最佳实践来确保应用的安全性。对于html2pdf.js用户而言，只要使用最新版本，就不需要特别担心这个特定风险的影响。