一个前端DOMXSS过滤器-安全小百科

最近热衷于刷twitter，各种大牛的东西让我应接不暇，感觉确实新有干货，前几天看到Yosuke发状态了：

是发的一个DOMParser处理、过滤html的小程序。想想觉得还是挺新颖的，以前自己也做了一个XssHtml过滤类（http://phith0n.github.io/XssHtml/），但都是基于后端语言的，不能处理前端比如DOMXSS。

看了他的代码感觉挺好的，思路也是基于白名单的过滤机制，将允许存在的标签和属性列在javascript对象中，遍历DOM后将允许的标签和属性保留，不允许的丢弃。

我改了改，加了点过滤，做了个类，代码如下：

function Jsdxss(allows){
	this.allows = allows || {
	  "a" : [ "title", "ping", "href", "class", "target", "style" ],
	  "b" : [ "class", "style" ],
	  "img" : [ "src", "class", "style" ],
	  "div" : [ "class", "style"],
	  "p" : ["class", "style"]
	}
	var buildNodes = function( node ){
		var i, newNode, attributes, child;

		switch( node.nodeType ){
		case 1: // ELEMENT_NODE
			attributes = allows[ node.tagName.toLowerCase() ];
			if( attributes === undefined ) return undefined;

			newNode = document.createElement( node.tagName );
			for( i = 0; i < node.attributes.length; i++ ){
				if( attributes.indexOf( node.attributes[ i ].name ) != -1 ){
					switch(node.attributes[ i ].name){
						case "href": node.attributes[ i ] = _deal_href(node.attributes[ i ]);break;
						case "style": node.attributes[ i ] = _deal_style(node.attributes[ i ]);break;
					}
					newNode.setAttribute( node.attributes[ i ].name, node.attributes[ i ].value );
				}
			}
			for( i = 0; i < node.childNodes.length; i++ ){
				child = buildNodes( node.childNodes[ i ] );
				if( child !== undefined ){
					newNode.appendChild( child );
				}
			}
			return newNode;
		case 3: // TEXT_NODE
			return document.createTextNode( node.textContent );
		default:
			return undefined;
		}
	}

	var _deal_href = function(attr){
		var href = attr.value;
		if (href.indexOf("http://") === 0 || href.indexOf("http://") === 0) {
			attr.value = href;
		}else{
			attr.value = "http://" + href;
		}
		return attr;
	}

	var _deal_style = function(attr){
		var style = attr.value;
		var re = /expression/gim
		style = style.replace(/\/g, ' ').replace(/&#/g, ' ').replace(//*/g, ' ').replace(/*//g, ' ');
		attr.value = style.replace(re, ' ');
		return attr;
	}

	this.filter = function(html, target){
		try{
			var parser = new DOMParser();
			var newDoc = parser.parseFromString( html, "text/html" );
		}catch(e){
			var doc = new ActiveXObject ("MSXML2.DOMDocument");
			var newDoc = doc.loadXML(html);
		}
	    
	    var newBody = newDoc.body;
	    var target = document.getElementById( target );
	    var i, childeNode;
	  
		target.innerHTML = "";
		for( i = 0; i < newBody.childNodes.length; i++ ){
			childNode = buildNodes( newBody.childNodes[ i ] );
			if( childNode !== undefined ){
				target.appendChild( childNode );
			}
		}
	}

}

使用方法：

var html = "HTML CODE";
(new Jsdxss()).filter(html, "target");

运行完成后会将过滤后的代码输出在id为target的元素中。

github：https://github.com/phith0n/Jsdxss

大家可以在这个页面测试：http://phith0n.github.io/Jsdxss/test.html

相关推荐: 【转】PHP代码审计

代码审计顾名思义就是检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。 PHP代码审计审计套路通读全文法 (麻烦，但是最全面) 敏感函数参数回溯法 (最高效，最常用) 定向功能分析法 (…

文章版权归作者所有，未经允许请勿转载。

THE END

安全博客文章
# 过滤 # domxss # xsshtml

喜欢就支持一下吧

一个前端DOMXSS过滤器

请登录后发表评论

男子打羽毛球被流浪猫绊倒致伤残，判赔24万元

【首度回应】被举报在武大图书馆性骚扰女生后，网暴接踵而来！

中国气象局发布大地磁暴预警

网友称为防止猥亵，女乘客购票默认为列车上铺？12306：系随机出票

被折磨3年，竟是洗澡洗出个“鸟病”！

91大神究竟用了什么手段，让女大学生空姐心甘情愿拍视频？

公司成功上市啦！ – 作者:KOAL格尔国信

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

女祭女戚

帆软10.0 Getshell漏洞分析

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

DNSLOG平台搭建从0到1 – 作者:dadadadudu

UltraBoard Directory Traversal Vulnerability

FreeNX Xauthority权限变量设置漏洞

钟馗

卡巴斯基：Windows 10 升级漏洞并非由公司杀毒工具引起

Microsoft Outlook Express SMTP Over TLS Information Disclosure Vulnerability

付费下载测试

Python网络开发简单的IP城市定位WebAPI

zibll子比主题 v5.6最新免授权版

创建不做身份鉴定的HTTPClient发送HTTPS的POST请求的工具类，解决异常：sun.security.validator.ValidatorException: PKIX path vali

Attack tive Directory – 作者:sec875

免费领爱企查两年会员