2012年(272)
分类: 网络与安全
2012-06-27 10:59:07
前端JS框架终于爆了个XSS,也许以前也有,但我不知道。
http://www.gdssecurity.com/l/b/2010/03/12/multiple-dom-based-xss-in-dojo-toolkit-sdk/
需要注意的是这是框架自己的漏洞,而非利用框架写出的漏洞。
因为js框架本身提供一些功能写入DOM节点,如果程序员自己写错了,这笔账不能记到js框架的头上。
比如jQuery 中提供 html() 直接将html代码插入DOM节点,如果程序员插了个用户能控制的进去,又没有做任何的校验,当然会形成XSS
在这里dojo的这个XSS是Toolkit SDK本身出现的问题。这种问题的影响范围是非常广的。
一直想看看js框架的安全问题,不过没有时间去做这些,先记录下这个漏洞,以备参考。
