assainissement des chaînes d'URL non fiables qui seront transmises à location.replace

Question

Je reçois une chaîne à partir de l'identificateur de fragment de la fenêtre en cours (location.hash). Je veux utiliser cette chaîne comme argument à location.replace(str).

Dans des circonstances normales, la chaîne viendra du contrôle de code I, donc je ne suis pas inquiet de valider que la chaîne est une URL. Si la chaîne n'est pas une URL, l'appel à remplacer échouera tout simplement. C'est très bien. Ce qui m'inquiète, c'est de m'assurer que la chaîne n'est PAS une URL javascript: ou toute autre chose qui permettrait à quelqu'un d'exécuter Javascript arbitrairement sur mon domaine. Actuellement, je vérifie juste que str.indexOf('http') == 0.

Est-ce suffisant ou devrais-je désinfecter cette chaîne un peu plus?

Answer 1

La désinfection que vous proposez ne suffit pas.

Un attaquant pourrait rediriger vers une URL data:uri contenant le code html/javascript encodé en base64. Cela permettrait à l'attaquant d'exécuter du code javascript arbitraire. Par exemple, cet extrait de code alertera « XSS » (Firefox, Safari et Opera)

 

    var data = 'data:text/html;base64,PHNjcmlwdD5hbGVydCgiWFNTIik8L3NjcmlwdD4='; 
    location.replace(data); 
 

Par ailleurs, il peut être possible de rediriger vers une URL FTP anonyme, ou utiliser un autre protocole obscur. Au lieu de mettre des protocoles/mots-clés en liste noire, utilisez une approche de liste blanche à la place. Maintenir une liste de bonnes URL dans votre code javascript. Ensuite, lisez l'identificateur de fragment et voyez s'il se trouve dans cette liste connue d'URL. Si ce n'est pas le cas, arrêtez le processus. En sécurité, les listes blanches sont toujours préférables aux listes noires.