我正在尝试用DOMPurify修复跨端脚本(XSS(。在URL中发现的漏洞如下。https://stage-xyzmysite.com/login/?rUrl=javascript:alert("hi"(。我正在尝试做一个简单的POC,它将尝试消除javascript警报部分。我试过使用DOMPurify.sance(<此处的url>(。我希望看到javascript部分被删除,但这并没有发生。如果我在URL中用标签附上警报,那么它就会被删除。我应该使用其他特殊配置吗?
DOMPurify清除HTML,它必须是HTML才能有任何人点击链接的风险。如果你只是把它像文本一样打印出来,就不会有用户点击链接并被注射的风险。
以下是一篇关于HTML中XSS的文章,并举例说明如何使用DOMPurify以防它对您有所帮助https://writingjavascript.com/keep-your-html-output-secure-and-clean-from-xss-javascript-injection