Безопасен ли innerHTML с переключателями?

Итак, я знаю, что использование innerHTML с пользовательским вводом небезопасно, но мне интересно, нормально ли это, если вы используете переключатели, где единственный пользовательский ввод отмечен, а не отмечен.

Мой JS выглядит так: const topsButton = document.getElementById("tops"); topsButton.addEventListener("click", () => { chart.innerHTML = "<div>somehtml</div>"});

этот JS встроен в тег script в моем HTML.

Можно ли это использовать?

См. developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensio‌​ns/…

JMP 17.04.2023 12:38

Опасность заключается не в пользовательском вводе. Опасность заключается в том, что вы визуализируете чей-то ДРУГОЙ ввод на странице. Поэтому, если вы сохраните введенный пользователем HTML-код без его очистки и покажете его другому пользователю, то этот другой пользователь может стать жертвой XSS, если у первого пользователя есть злонамеренные намерения.

mplungjan 17.04.2023 12:43
javascript security innerhtml
17.04.2023 12:25
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer
Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer
В настоящее время производительность загрузки веб-сайта имеет решающее значение не только для удобства пользователей, но и для ранжирования в...
Безумие обратных вызовов в javascript [JS]
Безумие обратных вызовов в javascript [JS]
Здравствуйте! Юный падаван 🚀. Присоединяйся ко мне, чтобы разобраться в одной из самых запутанных концепций, когда вы начинаете изучать мир...
Система управления парковками с использованием HTML, CSS и JavaScript
Система управления парковками с использованием HTML, CSS и JavaScript
Веб-сайт по управлению парковками был создан с использованием HTML, CSS и JavaScript. Это простой сайт, ничего вычурного. Основная цель -...
JavaScript Вопросы с множественным выбором и ответы
JavaScript Вопросы с множественным выбором и ответы
Если вы ищете платформу, которая предоставляет вам бесплатный тест JavaScript MCQ (Multiple Choice Questions With Answers) для оценки ваших знаний,...
0
2
51
3
Перейти к ответу Данный вопрос помечен как решенный

Ответы 3

Использование innerHTML с переключателями, где проверяется только пользовательский ввод, относительно безопаснее по сравнению со сценариями, в которых вы напрямую включаете пользовательский ввод в innerHTML. Однако при использовании innerHTML всегда существует определенная степень риска, поскольку при неаккуратном использовании он потенциально может привести к уязвимостям межсайтового скриптинга (XSS).

В вашем конкретном случае кажется, что содержимое, вводимое в innerHTML, представляет собой статическую строку («somehtml»), которая не должна представлять непосредственный риск XSS, поскольку пользовательский ввод не вставляется. Риск был бы выше, если бы вы вставляли пользовательский ввод в innerHTML, так как это могло бы позволить злоумышленнику внедрить вредоносные скрипты.

При этом, как правило, рекомендуется избегать использования innerHTML и выбирать более безопасные альтернативы, такие как textContent или методы, предоставляемые DOM API, такие как createElement, createTextNode и appendChild, для создания элементов DOM и управления ими.

Вот пример того, как вы можете переписать свой код с помощью DOM API:

const topsButton = document.getElementById("tops");
topsButton.addEventListener("click", () => {
  const div = document.createElement("div");
  div.textContent = "somehtml";
  chart.innerHTML = ""; // Clear the contents of the chart element
  chart.appendChild(div);
});

Таким образом, вы используете более безопасный подход к управлению DOM, снижая риск уязвимостей XSS.

textContent=someHTML покажет теги. Вероятно, это не ожидаемое поведение

mplungjan 17.04.2023 12:47
17.04.2023 12:42
Ответ принят как подходящий

Я знаю, что использование innerHTML с пользовательским вводом небезопасно.

Проблема, возникающая при использовании innerHTML с пользовательским вводом, заключается в том, что документ может быть поврежден «плохим» вводом. В безобидном случае пользователь может случайно вставить что-то, что испортит форматирование страницы; в худшем случае злоумышленник может заставить пользователя ввести код, который крадет его учетные данные или выполняет привилегированные действия и т. д.

Риск исходит от неограниченного пользовательского ввода, а не от самого пользовательского ввода. Если у меня есть текстовый ввод, содержимое которого дословно копируется в innerHTML элемента, это обычно считается рискованным или, по крайней мере, весьма сомнительным. Если содержимое перед добавлением на страницу проходит через высококачественный дезинфицирующий HTML-код, это будет значительно менее рискованно.

В этом случае вы просто добавляете известную полезную нагрузку HTML в зависимости от пользовательского ввода. Это не рискованное поведение. Что бы это ни стоило, этот конкретный фрагмент выглядит для меня вполне безопасным, но я не аккредитован как библиотека для очистки HTML!

Кроме того, манипуляции с innerHTML можно считать чем-то вроде «запаха кода» — отчасти из-за аспектов безопасности HTML-инъекций, отчасти потому, что это затрудняет проверку того, что документ «правильно сформирован», что может повлиять на производительность. .... Вместо этого вы можете иметь этот <div> в документе и скрывать/отображать его с помощью CSS и соответствующей разметки ARIA.

17.04.2023 12:53

Короче говоря, если переключатель установлен/снят с помощью innerHTML, это безопасный вариант. Но всегда рекомендуется дезинфицировать пользовательский ввод и предотвращать создание динамического HTML.

17.04.2023 15:29

Другие вопросы по теме

Что мешает злоумышленнику включить мой скрипт DB Connect и создать скрипт для обновления моей базы данных на своем сервере?
Конфигурация безопасности Spring SecurityFilterChain defaultSecurityFilterChain разрешить все проблемы
Как поддерживать согласованный ключ шифрования в шифровании на уровне поля на стороне клиента MongoDB?
Где уязвимость для этой программы? (простое переполнение буфера)
Как узнать версию OpenSSL, которую использует мой коллега?
Xml2js уязвим к загрязнению прототипа
Аутентификация учетных данных NextJs с защищенными маршрутами с помощью следующей аутентификации
Как исправить неправильно настроенную запись spf, чтобы злоумышленник не рассылал фишинговые или спам-сообщения с нашего домена?
Как добавить заголовки http в запросы API в SwagguerUI
Нужно ли мне вручную отключать учетные данные Google Диска от Google Colab?

Похожие вопросы

E.target.value JavaScript не работает точно с элементом onClick при нажатии пару раз
Пользовательский хук React для проверки работает неправильно
Нужен ли фрагмент с защитой от мерцания для GA4?
Как передать переменную в слот в Svelte?
Выделение текста при поиске с использованием регулярного выражения, даже если в тексте есть запятые
Выделите «выбранный» фрагмент диаграммы chart.js как наведенный при нажатии
NodeJS spawn child_process не работает на glitch.com
Ось вращения () css
Как установить заголовок авторизации в HTML-форме метода GET
Как реализовать предложение типов шины событий в Typescript