uni-app InnerHTML的XSS攻击漏洞

phonegap100 1楼

搜索 editor 标签，有引用吗？
这都是 editor 三方依赖提示的，编辑器依赖 innerHTML 实现样式渲染。如果你不需要编辑器的样式渲染，可以考虑换个编辑器，不使用 editor 标签

更多关于uni-app InnerHTML的XSS攻击漏洞的实战教程也可以访问 https://www.itying.com/category-93-b0.html

phonegap100 2楼

没有使用到editor标签, 这些都是是打包后的wgt文件解压到Android目录被扫描出来

phonegap100 3楼

回复 y***@163.com: 有初步的方案了，我现私聊你，需要你来实际验证下

yibo5220 4楼

遇到相同的问题，要怎么解决这个问题？

caililin 5楼

打完包的资源把点语法替换成[], 绕过扫描;比如.innerHTML改成[‘inner’ + ‘HTML’]

itying888 6楼

在 uni-app 中使用 innerHTML 或类似的方式动态插入 HTML 内容时，确实存在潜在的 XSS（跨站脚本攻击） 风险。XSS 攻击是指攻击者通过注入恶意脚本代码，使其在用户的浏览器中执行，从而窃取用户数据、篡改页面内容或进行其他恶意操作。

1. 什么是 XSS 攻击？

XSS 攻击通常发生在以下场景：

开发者直接将用户输入的内容插入到页面中，而没有进行适当的过滤或转义。
使用 innerHTML、v-html（Vue.js）等方式动态渲染 HTML 内容时，如果内容包含恶意脚本，这些脚本会被浏览器执行。

2. `uni-app` 中的 `innerHTML` 使用

在 uni-app 中，如果你使用 v-html 或直接操作 DOM 的 innerHTML 属性来渲染动态内容，可能会引入 XSS 漏洞。例如：

<template>
  <div v-html="userContent"></div>
</template>

<script>
export default {
  data() {
    return {
      userContent: '<script>alert("XSS Attack!")</script>'
    };
  }
};
</script>

在上面的例子中，如果 userContent 包含恶意脚本，它会被直接插入到页面中并执行。

3. 如何防范 XSS 攻击？

为了防范 XSS 攻击，可以采取以下措施：

(1) 避免直接使用 `innerHTML` 或 `v-html`

尽量避免直接使用 innerHTML 或 v-html 来渲染动态内容。如果必须使用，确保内容来自可信来源，并且经过严格的过滤和转义。

(2) 对用户输入进行过滤和转义

在将用户输入插入到页面之前，对内容进行过滤和转义。例如，使用第三方库（如 DOMPurify）来清理 HTML 内容，移除潜在的恶意脚本。

import DOMPurify from 'dompurify';

export default {
  data() {
    return {
      userContent: '<script>alert("XSS Attack!")</script>'
    };
  },
  computed: {
    safeContent() {
      return DOMPurify.sanitize(this.userContent);
    }
  }
};

然后在模板中使用 safeContent：

<template>
  <div v-html="safeContent"></div>
</template>

(3) 使用安全的替代方案

如果可能，使用安全的替代方案来渲染动态内容。例如，使用文本插值（{{ }}）或 v-text，它们会自动对内容进行转义，防止 XSS 攻击。

<template>
  <div>{{ userContent }}</div>
</template>

(4) 设置 Content Security Policy (CSP)

通过设置 Content Security Policy (CSP)，可以限制页面中允许加载的资源（如脚本、样式、图片等），从而减少 XSS 攻击的风险。例如，禁止内联脚本的执行：

Content-Security-Policy: script-src 'self';