发新帖时可嵌入任意的url，并在访问帖子时自动请求该url

Question

Opened this issue 6 years ago · 6 comments

发表新帖时会对Content进行过滤，但是style属性未处理，可以嵌入任意内容，比如url。
是否有其他危害未知，已知危害是可以用来发起CSRF。

比如构造如下Content：
Content=%3Cdiv+style%3D%22background-image%3Aurl%28%27https%3A%2F%2Fwww.baidu.com%27%29%22%3E%3C%2Fdiv%3E

<div style="background-image:url('https://www.baidu.com')">
</div>

Answer 1 · 2018-05-11T10:38:10.000Z

这个问题我之前考虑到了，所以我写这个过滤类的时候。
有写了个style白名单的功能，但是CSS样式太多，我没有去整理安全属性。

Answer 2 · 2018-05-11T10:41:16.000Z

是的，看代码是考虑到了，就光看到一个空数组了。对于使用来说，还是存在安全隐患。

Answer 3 · 2018-05-11T10:43:25.000Z

至少对于程序本身，GET方法请求无法发起CSRF，例如退出登录链接我也加入了token。

目前来看应该没有太大影响。

Answer 4 · 2018-05-11T10:43:40.000Z

只要那个数组不为空，就是启用白名单了。

Answer 5 · 2018-05-11T10:48:09.000Z

默认很少有人去改这个参数，所以大多数情况下是空白。
容易发起对其他站点的CSRF。或者哪天搞个CSS跨站出来也不好说。

Answer 6 · 2018-05-11T11:00:20.000Z

其他网站有浏览器跨域安全策略保护的，问题不大。