Sau khi đọc bài viết này tôi không có một câu trả lời rõ ràng:URI dữ liệu có bị khai thác trên <img> s XSS không?
http://palizine.plynt.com/issues/2010Oct/bypass-xss-filters/
trình duyệt sẽ giải thích text/html dữ liệu URI tải trọng trong <img>src như một tài liệu ở đâu <script> thẻ được thực thi?
Nếu không thì có an toàn để cho phép URI dữ liệu trong HTML của bên thứ ba không?
Cơ chế an toàn nào tồn tại ở cấp trình duyệt cho trường hợp sử dụng này?
Các MSDN documentation nói IE không:
Vì lý do an ninh, các URI dữ liệu bị hạn chế tài nguyên đã tải. Không thể sử dụng URI dữ liệu để điều hướng, cho tập lệnh hoặc để điền các phần tử khung hoặc khung nội tuyến.
Mặt khác, Mozilla không cho phép iframe và script thực hiện:
dữ liệu: url kế thừa nguồn gốc của giới thiệu của họ cho phép họ được sử dụng để tạo hoặc nội dung cửa sổ mà phụ huynh có thể tương tác. Gecko đã luôn luôn thực hiện theo cách này (và chúng tôi đã có rất nhiều kiểm tra an ninh nằm rải rác xung quanh mà phải lo lắng về nó).
Safari và Chromium dữ liệu sandbox Thực thi URI, xử lý hiệu quả chúng dưới dạng yêu cầu tên miền chéo.
Hiện tại, chúng tôi đánh dấu dữ liệu: URI không có quyền truy cập vào bất kỳ nguồn gốc nào khác bao gồm dữ liệu khác: URI.
HTML5 đặc tả trạng thái:
Nếu một tài liệu hoặc hình ảnh được tạo ra từ một dữ liệu: URL đã được trả lại như vị trí của một chuyển hướng HTTP (hoặc tương đương trong các giao thức khác)
Nguồn gốc là nguồn gốc của URL được chuyển hướng đến dữ liệu: URL.
Nếu một tài liệu hoặc hình ảnh được tạo ra từ một dữ liệu: URL tìm thấy tại văn bản khác hoặc trong một kịch bản
Nguồn gốc là một bí danh về nguồn gốc theo quy định của các thiết lập đương nhiệm phản đối khi các thuật toán điều hướng được gọi, hoặc , nếu không có tập lệnh nào có liên quan, của tài liệu nút của phần tử đã bắt đầu điều hướng đến URL đó.
Nếu tài liệu hoặc hình ảnh được lấy theo cách khác (ví dụ:dữ liệu: URL được người dùng nhập vào, Tài liệu được tạo bằng cách sử dụng API createDocument(), dữ liệu: URL được trả về làm vị trí của chuyển hướng HTTP, v.v.)
Nguồn gốc là mã nhận diện duy nhất toàn cầu được chỉ định khi Tài liệu hoặc hình ảnh được tạo.
Và RFC6454 cho biết thêm:
Một URI không nhất thiết phải là cùng nguồn gốc với chính nó. Ví dụ, một URI dữ liệu [RFC2397] không phải là cùng một nguồn gốc bởi vì các URI dữ liệu không sử dụng một cơ quan đặt tên dựa trên máy chủ và do đó có các định danh duy nhất trên toàn cầu làm nguồn gốc.
Các CSSHTTPRequest library sử dụng URI dữ liệu để làm các yêu cầu GET cross-site, nhưng điều đó là nhất nó có thể làm trên tất cả các trình duyệt.
Tài liệu tham khảo
vì vậy điều này có nghĩa là nó không an toàn trong mozilla? nhưng an toàn trong phần còn lại? – pvgoddijn
@pvgoddijin Tôi [không] (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3013) [nhất thiết] (https: //web.nvd.nist. gov/view/vuln/detail? vulnId = CVE-2012-2899) [nói] (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6463) [rằng] (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2609). [Bao giờ] (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3016). –
Có thể tiêm dữ liệu theo cách này, nhưng điều quan trọng cần lưu ý là nó cũng có thể tiêm dữ liệu trong dữ liệu nhị phân của hình ảnh. Dù bằng cách nào thì không có gì là an toàn 100%. KHÔNG BAO GIỜ. Nếu bạn đang sử dụng khuôn khổ CodeIgniter, bạn có thể rất kiên cố bảo vệ mình khỏi điều này với
$this->security->xss_clean()
Ngoài ra có thể có thể xây dựng phiên bản riêng của bạn về một kịch bản như vậy mà chỉ loại bỏ những điều nguy hiểm với regex. Hãy nhớ để được quan tâm về mã hóa ký tự khác nhau khi xây dựng một kịch bản như vậy.
Đó là ít nhất không phải là một trong những cách được đề cập ở đây http://ha.ckers.org/xss.html – BalusC
Trang web rất tốt, nhưng Netscape 8 hơi già ... :) Có thể một số thông tin cập nhật ở đâu đó –