Új hozzászólás Aktív témák

• #9053 nevemfel senior tag Silεncε #9049

  Új Válasz 2021-12-19 00:00:07 #9053

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  nevemfel

  senior tag

  válasz Silεncε #9049 üzenetére

  Igazad van, az innerHTML sem biztonságos:

  There is one built-in safeguard in place, though. Just injecting a script element won’t expose you to attacks, because the section of the DOM you’re injecting into has already been parsed and run.
  
  // This won't execute
var div = document.querySelector('#some-div');
div.innerHTML = '<script>alert("XSS Attack");</script>';

  JavaScript that runs at a later time, though, will.

  // This WILL run
div.innerHTML = '<script deferred>alert("XSS Attack");</script>';
// This will, too
div.innerHTML = '<img src=x onerror="alert(\'XSS Attack\')">';

  [link]

  Ez a megoldás viszont ígéretesnek tűnik:

  If the third-party content is allowed to contain markup, a helper library like DOMPurify will remove any markup that’s not part of a secure whitelist before injecting it.

• #9051 nevemfel senior tag Silεncε #9049

  Új Válasz 2021-12-18 23:54:27 #9051

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  nevemfel

  senior tag

  válasz Silεncε #9049 üzenetére

  Lehetséges, bár leutóbbi emlékeim szerint nekünk pont az volt a problémánk, hogy innerHTML esetén a htmlbe belinkelt, vagy beágyazott script nem hajtódott végre. De már rég foglalkoztam a témával, szóval majd utánanézek ennek.

Új hozzászólás Aktív témák