Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1202863
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-27 10:59:07

前端JS框架终于爆了个XSS,也许以前也有,但我不知道。

http://www.gdssecurity.com/l/b/2010/03/12/multiple-dom-based-xss-in-dojo-toolkit-sdk/

需要注意的是这是框架自己的漏洞,而非利用框架写出的漏洞。

因为js框架本身提供一些功能写入DOM节点,如果程序员自己写错了,这笔账不能记到js框架的头上。

比如jQuery 中提供 html() 直接将html代码插入DOM节点,如果程序员插了个用户能控制的进去,又没有做任何的校验,当然会形成XSS

在这里dojo的这个XSSToolkit SDK本身出现的问题。这种问题的影响范围是非常广的。

一直想看看js框架的安全问题,不过没有时间去做这些,先记录下这个漏洞,以备参考。

阅读(6701) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~