Есть идеи, как предотвратить атаки XSS на приложение node.js? Любые библиотеки, которые обрабатывают удаление javascript в hrefs, атрибутах onclick и т. Д. из опубликованных данных?
Я не хочу писать для всего этого регулярное выражение :)
Какие-либо предложения?
Один из ответов на вопрос Очистить / перезаписать HTML на стороне клиента предлагает заимствование средства очистки HTML на основе белого списка в JS от Google Caja, который, насколько я могу судить по быстрой прокрутке, реализует синтаксический анализатор HTML SAX, не полагаясь на DOM браузера.
Обновление. Кроме того, имейте в виду, что дезинфицирующее средство Caja, по-видимому, прошло полную профессиональную проверку безопасности, в то время как регулярные выражения известны тем, что их очень легко вводить опечатками, нарушая безопасность.
Обновление от 24 сентября 2017 г .: теперь есть DOMPurify. Я еще не использовал его, но похоже, что он соответствует или превосходит все пункты, которые я ищу:
По возможности полагается на функциональность, предоставляемую средой выполнения. (Важно как для производительности, так и для максимальной безопасности за счет максимально возможного использования хорошо протестированных и зрелых реализаций.)
Конфигурация по умолчанию, предназначенная для минимального удаления, при этом гарантируя удаление javascript.
toStaticHTML от Microsoft в IE8 и IE9.Широкие возможности настройки, что делает его подходящим для применения ограничений для ввода, который может содержать произвольный HTML-код, например поле комментария WYSIWYG или Markdown. (Фактически, здесь это верхушка кучи)
Они серьезно относятся к совместимости и надежности
Я создал модуль, который объединяет Caja HTML Sanitizer.
npm install sanitizer
http://github.com/theSmaw/Caja-HTML-Sanitizer
https://www.npmjs.com/package/sanitizer
Любая обратная связь приветствуется.
require('sanitizer').sanitize удаляет все a[href] атрибуты, а не только непослушные. Для нашего случая использования нам нужно, чтобы ссылки по-прежнему принимались (только не непослушные ссылки и другие хулиганы и т. Д.), Какие-нибудь предложения?
- person balupton; 09.10.2013
Все обычные методы применимы и к выводу node.js, что означает:
Я не уверен, что в node.js есть что-то встроенное для этого, но что-то вроде этого должно сработать:
function htmlEscape(text) {
return text.replace(/&/g, '&').
replace(/</g, '<'). // it's not neccessary to escape >
replace(/"/g, '"').
replace(/'/g, ''');
}
Недавно я обнаружил узел-валидатор от chriso.
get('/', function (req, res) {
//Sanitize user input
req.sanitize('textarea').xss(); // No longer supported
req.sanitize('foo').toBoolean();
});
Функция XSS больше не доступна в этой библиотеке.
https://github.com/chriso/validator.js#deprecations
Вы также можете посмотреть ESAPI. Существует версия библиотеки для javascript. Он довольно крепкий.
В более новых версиях модуля validator вы можете использовать следующий скрипт для предотвращения XSS-атаки:
var validator = require('validator');
var escaped_string = validator.escape(someString);
Попробуйте модуль npm strip-js. Он выполняет следующие действия:
https://www.npmjs.com/package/strip-js
!important.
- person Joseph Lust; 05.07.2019
Вам стоит попробовать библиотеку npm "insane". https://github.com/bevacqua/insane
Пробую в продакшене, работает хорошо. Размер очень маленький (около 3 КБ в сжатом виде).
Документацию очень легко читать и понимать. https://github.com/bevacqua/insane
Обновление 2021-04-16: xss - это модуль, используемый для фильтрации ввода от пользователей для предотвращения XSS-атак.
Очистите ненадежный HTML (для предотвращения XSS) с конфигурацией, указанной в белом списке.
Посетите https://www.npmjs.com/package/xss
домашнюю страницу проекта. : http://jsxss.com
