XSS-Schwachstelle in der Live-Vorschau
Nun, wenn du GrapesJS nutzt und die Möglichkeit erlaubst, benutzerdefinierten HTML einzufügen, ja, Self-XSS ist möglich. Leider gibt es einige Probleme, die es mir nicht erlauben, das richtig zu behebenIch muss auf das DOM des iframes zugreifen, um innere Komponenten hinzuzufügen/aktualisieren, damit der Editor ohne '...
Lesen Sie die vollständige Antwort unten ↓Frage
Version: 0.16.22
Kannst du den Fehler aus der Demo reproduzieren?
[x] Ja
Schritte:
- Klicken Sie auf HTML importieren
- Einfügen von '<img src="any_image_source.gif" onload="alert(1)"/>'
- Der JS wird hingerichtet
Ein richtiges "Sandbox"-Attribut auf iframe könnte das Problem wahrscheinlich abmildern.
Antworten (3)
Nun, wenn du GrapesJS nutzt und die Möglichkeit erlaubst, benutzerdefinierten HTML einzufügen, ja, Self-XSS ist möglich. Leider gibt es einige Probleme, die es mir nicht erlauben, das richtig zu behebenIch muss auf das DOM des iframes zugreifen, um innere Komponenten hinzuzufügen/aktualisieren, dam...
Du hast recht, wir dachten, 'sandbox="allow-same-origin"' würde den Zweck erfüllen, aber 'allow-scripts' ist auch nötig, und dann ist es, als würde man Sandbox gar nicht mehr verwenden. Was aber trotzdem hilfreich sein könnte, ist, eine Möglichkeit bereitzustellen, wie grapejs-Nutzer irgendwie die...
Wenn du den Content Security Policy HTTP-Header verwendest, kannst du viele solche XSS-Probleme umgehen. aber es gibt im Moment ein Problem mit GrapesJS, nämlich dass es underscore.js verwendet, was eine Funktion mit "eval" beinhaltet, sodass man den CSP-Header nicht so sicher machen kann, wie er s...
Verwandte Fragen und Antworten
Führe die Forschung mit ähnlichen Themendiskussionen fort.
Problem #3045
Problem beim Import von CSS und Modul in nodejs es6
Version: 0.16.22 Kannst du den Fehler aus der Demo reproduzieren? [x] Ja [ ] Nein Was ist das erwartete Verhalten? Zum Import von grapejs,...
Problem #3048
TypeError: Kann die Eigenschaft 'get' von undefined nicht lesen
Version: 0.16.22Kannst du den Fehler aus der Demo reproduzieren? [x] Ja [ ] NeinWas ist das erwartete Verhalten? Keine Fehler in der Konsol...
Problem #1295
Einheitsauswahlfeld fehlt auf IE nach dem Klick
@artf Ich benutze derzeit die neueste Version von GrapesJS (aber du kannst diesen Fehler mit der Demo reproduzieren). Im Grunde musst du nu...
Problem #2892
FEHLER: CanvasView.clearOff wird nicht aufgerufen, wenn das übergeordnete Element gescrollt wird
v0.16.18 (ebenfalls getestet v0.16.22) Kannst du den Fehler aus der Demo reproduzieren? [X] Ja [ ] Nein Was ist das erwartete Verhalten? Gr...
Kostenpflichtige Plugins, die diesem Problem entsprechen
Kuratiert nach Themen-Schlüsselwörtern und Label-Relevanz, damit Sie schneller liefern.
Lade: Empfehlungen für kostenpflichtige Plugins...
Überprüfen Sie die Open-Source-GrapesJS-Plugins auf GitHub Oder suchen Sie schnell in unserem kostenlosen Katalog.
Durchstöbere kostenlose Plugins →Premium-Plugins werden mit Support, regelmäßigen Updates und produktionsreifen Funktionen geliefert – das spart Tage an Integrationsarbeit.
Durchsuchen Sie Premium-Plugins →Durchsuchen Sie Plugin-Kategorien
Springe direkt zu den Plugin-Kategorieseiten im Marktplatz.