Может ли злоумышленник вставить в ссылку js код?

Question

[Aragorn]

На моем сайте пользователи могут оставлять комментарии, а в комментарии они могут вставлять ссылки. У меня это работает примерно
как здесь, на qna habr: кнопка, кликаешь, выскакивает prompt и ты вставляешь ссылку.
Вопрос: может ли потенциальный злоумышленник вставить с ссылкой js код? Чтобы во время загрузки странички к ссылке присоединялось что-то, например document.cookie, а по нажатии на ссылку отправлялся запрос злоумышленнику через ?q=? Аналогично с img и ссылками на изображения.

P. S. Я проверяю ссылку на наличие https://домен.домен Соответственно javascript:alert(1) не прокатит

Comments

[Everything_is_bad]

"потенциальный злоумышленник" может делать всё что захочет, это базовая проблема, но 100 лет как есть решения, гугли

[historydev]

Everything_is_bad, Уже не совсем, раньше помню целые игры можно было встраивать, например космический корабль который Дуровский вк расстреливал через js схему: https://developer.mozilla.org/en-US/docs/Web/URI/S...

Сейчас это не сработает.

[maksam07]

Это должен быть вопрос по бекенду, а не фронту..

Answer 1

[Aetae]

Если код твоего сайта самописный - скорее всего да. Если используется какая-то готовая система - скорее всего нет.

Любой ввод пользователя надо очищать от всего потенциально опасного. Называется sanitize - гугли "sanitize <твой язык или ситуация>" и используй найденные библиотеки с нормальной поддержкой.

Есть множество неявных способов вставить код на страницу, просто <sctipt> и href="javascript:" - далеко не единственные, так что самостоятельно велосипед-санитайзер пилить крайне не рекомендую.

Comments

[historydev]

Есть множество неявных способов вставить код на страницу, просто <sctipt> и href="javascript:"

Например?

[rPman]

Например через xml и xslt стили, xml, открываемая в браузере, содержит ссылку на xslt, которая в свою очередь 'программа' для формирования html, со скриптами и чем хочешь

Мой пример не самый красивый, речь про то что любой текст, полученный от пользователя, который ты выводишь на странице, без проверки или экранизации, может восприниматься как кусок html, со скриптами и прочим, а там скрипты могут украсть например куки или еще какую информацию пользователя (тупой пример - ты создаешь пост, в котором содержится скрипт, все остальные пользователи сайта при просмотре этого сообщения, будут под своим доступом запускать этот скрипт)

[Aragorn]

Я проверяю ссылку на наличие https://домен.домен А после этого можно что-то вставить вредоносное?

[Aetae]

Aragorn,
https://домен.домен/"><script>alert(1)<script>
<img onerror="alert(1)"/>
и т.д. и т.п. Вариантов миллионы в зависимости от того что и как у тебя написано.

[Сергей Миронов]

Сегодня инструменты обычного браузера дают такое поле для экспериментов.

Answer 2

[Кирилл]

Вот это базовый набор примеров какие xss инфекции могут вставить
https://github.com/payloadbox/xss-payload-list
Также есть и xss сканеры у них бывают и ещё более изощрённые методы

Answer 3

[Пума Тайланд]

Ну смотря как вы экранируете ввод от пользователей
Вопрос тупой по двум причинам
Первая что можно тупо самому вставить и проверить три секунды
Вторая это то что если вы писали все сами то знаете как вы экранируете код от юзеров