Bagaimana untuk Menyahkod Entiti HTML dengan Selamat dalam JavaScript untuk Mencegah Kerentanan XSS?

Menyahkod Entiti HTML dalam JavaScript

Dalam perbincangan berulir ini, pembangun JavaScript menghadapi isu di mana entiti HTML dikembalikan daripada bahagian belakang XML-RPC telah memaparkan secara literal dalam penyemak imbas dan bukannya dihuraikan sebagai HTML. Artikel ini meneroka penyelesaian yang disediakan dan menyelidiki kemungkinan perangkap dan pertimbangan apabila tidak melepaskan entiti HTML dalam JavaScript.

Jawapan yang diterima membentangkan fungsi untuk menyahkod entiti HTML, tetapi ia mengandungi kecacatan yang ketara. Dengan tidak mengesahkan rentetan input, ia menyebabkan aplikasi terdedah kepada serangan skrip merentas tapak (XSS). Pertimbangkan contoh berikut:

htmlDecode("<img src='dummy' onerror='alert(/xss/)'>")

Dalam kes ini, fungsi itu akan menyahkod entiti HTML, tetapi ia juga akan melaksanakan kod JavaScript yang dibenamkan di dalamnya, yang membawa kepada potensi kelemahan XSS.

Untuk menangani isu ini, perbincangan memperkenalkan penggunaan DOMParser, yang menyediakan kaedah yang lebih dipercayai untuk menghuraikan rentetan HTML. Dengan menggunakan DOMParser, entiti HTML yang tidak dilepaskan boleh dinyahkodkan dengan tepat tanpa risiko memperkenalkan kod hasad.

function htmlDecode(input) {
  var doc = new DOMParser().parseFromString(input, "text/html");
  return doc.documentElement.textContent;
}

Penyelesaian ini menghuraikan rentetan HTML secara berkesan dan mengekstrak kandungan teks biasa yang dinyahkod, menghalang kelemahan XSS dan memastikan pengendalian yang selamat data yang tidak dipercayai.

Atas ialah kandungan terperinci Bagaimana untuk Menyahkod Entiti HTML dengan Selamat dalam JavaScript untuk Mencegah Kerentanan XSS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!