从头说下DOM XSS-编程实验室

Demo此问题

1. 写个html 叫test.html吧

<!doctype html> <html lang="zh-CN"> <head> <meta charset="utf-8"> <title>DOM XSS test：test.html</title> </head> <body> <h1>DOM XSS test：test.html</h1> <div id="app"></div> <script> const params = new URLSearchParams(location.search); const msg = params.get('msg') || 'hello'; console.log('msg =', msg); // ← 自检：确认读到 < ...> document.getElementById('app').innerHTML = `<p>${msg}</p>`; </script> </body> </html>

2 powershell 启动web

python -m http.server 8000

3 浏览器访问 localhost:8000/test.html?msg=<img%20src=x%20οnerrοr=alert(1)>

4 看到个弹窗

原因

它直接将用户可控的 URL 参数（msg）拼接到 innerHTML，未做任何转义或过滤。攻击者可以通过构造恶意的 msg 参数注入 JavaScript 代码，从而执行任意脚本。

运行中debug所见

修复方式

✅1. 输入验证与输出编码

输入验证：对来自location,document.URL,document.referrer,window.name等的值进行严格校验，只允许预期格式（如数字、固定字符串）。
输出编码：在插入 HTML 时使用合适的编码：
- HTML 内容 →textContent或innerText
- 属性值 →setAttribute()
- URL → 使用encodeURIComponent(）

✅2. 避免危险的 DOM API

禁止使用：
- innerHTML,outerHTML,document.write()
替代方案：
- 使用textContent或createElement()+appendChild()来构建安全 DOM。

<script> const params = new URLSearchParams(location.search); const msg = params.get('msg') || 'hello'; const mode = (params.get('mode') || 'text').toLowerCase(); const app = document.getElementById('app'); // 方案 1：纯文本渲染（默认） function renderText(s){ const p = document.createElement('p'); p.textContent = s; // ✅ 不解析为 HTML app.replaceChildren(p); } // 方案 2：白名单消毒（示例实现，生产用成熟库更好） function renderSanitized(html){ const allowedTags = new Set(['b','i','em','strong','u','a','code','pre','br']); const allowedAttrs = { 'a': new Set(['href','title']) }; const parser = new DOMParser(); const doc = parser.parseFromString(html, 'text/html'); const fragment = document.createDocumentFragment(); const walk = (node, outParent) => { if (node.nodeType === Node.TEXT_NODE) { outParent.appendChild(node.cloneNode()); return; } if (node.nodeType === Node.ELEMENT_NODE) { const tag = node.tagName.toLowerCase(); if (!allowedTags.has(tag)) { Array.from(node.childNodes).forEach(child => walk(child, outParent)); // 剥离不安全标签，仅保留文本/安全子节点 return; } const el = document.createElement(tag); for (const attr of Array.from(node.attributes)) { const name = attr.name.toLowerCase(), value = attr.value; if (name.startsWith('on')) continue; // 禁止事件属性 const allowSet = allowedAttrs[tag]; if (allowSet && !allowSet.has(name)) continue; if (tag === 'a' && name === 'href') { try { const u = new URL(value, location.origin); if (!['http:', 'https:', 'mailto:'].includes(u.protocol.toLowerCase())) continue; // 禁止 javascript:/data:/file:/vbscript: } catch (e) { continue; } } el.setAttribute(name, value); } Array.from(node.childNodes).forEach(child => walk(child, el)); outParent.appendChild(el); } }; Array.from(doc.body.childNodes).forEach(n => walk(n, fragment)); app.replaceChildren(fragment); } if (mode === 'sanitize') renderSanitized(msg); else renderText(msg); </script>

卡尔曼滤波技术在水产养殖环境监测中的智能应用

卡尔曼滤波技术在水产养殖环境监测中的智能应用【免费下载链接】Kalman-and-Bayesian-Filters-in-Python Kalman Filter book using Jupyter Notebook. Focuses on building intuition and experience, not formal proofs. Includes Kalman filters,extended Kalman filters, …

李华

GoCV实战指南：构建高效计算机视觉应用完整教程

GoCV实战指南：构建高效计算机视觉应用完整教程【免费下载链接】gocv hybridgroup/gocv: 是一个基于 Go 语言的开源计算机视觉库，支持多种计算机视觉算法和工具。该项目提供了一个简单易用的计算机视觉库，可以方便地实现图像和视频处理算法&a…

李华

Q#与Python代码导航实战（20年架构师亲授）：构建可维护量子计算项目的5大原则

第一章：Q#与Python代码导航的核心价值在量子计算与经典编程融合的背景下，Q# 与 Python 的协同开发成为推动算法实现与系统集成的关键路径。通过高效的代码导航机制，开发者能够在复杂项目中快速定位函数定义、依赖关系和类型信息，显…

李华

【独家披露】资深工程师的VSCode Qiskit部署秘籍：稳定运行不踩雷

第一章：VSCode Qiskit部署环境概览在量子计算快速发展的背景下，Qiskit作为IBM推出的开源量子软件开发工具包，已成为研究人员和开发者的重要选择。结合Visual Studio Code（VSCode）这一轻量级但功能强大的代码编辑器&…

李华

Betaflight 2025.12 终极指南：开源飞控固件的完整升级与优化方案

还在为飞控固件的性能瓶颈而烦恼？Betaflight 2025.12版本带来了革命性的改进！作为开源飞控固件领域的标杆项目，此次升级在系统架构、通信协议和飞行性能等方面都实现了重大突破。本文将为你提供详细的升级指南和性能优化方案，让你…

李华

如何快速掌握React Big Calendar：打造专业级日程管理的终极指南

如何快速掌握React Big Calendar：打造专业级日程管理的终极指南【免费下载链接】react-big-calendar gcal/outlook like calendar component 项目地址: https://gitcode.com/gh_mirrors/re/react-big-calendar 还在为React项目寻找一款既美观又实用的日历组…

李华