Безопасно ли вставлять JSON в HTML

Question

[Hint]

Безопасно ли вставлять JSON со строками, полученными от пользователя, непосредственно в код страницы через тег script? Нельзя ли при этом с помощью специальных html-последовательностей нарушить JSON, сделав XSS? JSON генерируется PHP-функцией json_encode.

Пример.

$queryData = json_encode(array('query' => isset($_GET['query']) ? $_GET['query'] : '', ...));

Шаблон страницы:

<script type="text/javascript">
<?php echo 'var queryData = ' . $queryData . ';' ?>
</script>

Comments

[Banzeg]

$_GET['query'] прямо так, в сыром виде, и передается?

[Hint]

Да, в прямом.

[Антон]

Вы смельчак!

Answer 1

[Kolyaj]

Валидный JSON XSS вызвать не может, а json_encode выдаёт, конечно, валидный. Другое дело, что вы с этим JSONом дальше дальше делать будете — если выводить на страницу, то надо не забывать эскейпить самостоятельно.

Comments

[Kolyaj]

Да, действительно. Про </script> я и забыл.

[Hint]

Может кроме script существуют и другие моменты? Например, использование html-комментариев, html-сущностей через & и прочее.

[Александр]

Нет, данные не смогут «вырваться» за строковую кавычку. Соответственно и в область JS-кода, где возможно наличие </script>

Answer 2

[Mithgol]

<?php
echo json_encode(array('tzt'=>'\'')); // выдаёт {"tzt":"'"}
echo json_encode(array('tzt'=>'\"')); // выдаёт {"tzt":"\""}
echo json_encode(array('tzt'=>'</script>')); // выдаёт {"tzt":"<\/script>"}
echo json_encode(array('tzt'=>'<\\/script>')); // выдаёт {"tzt":"<\\\/script>"}
echo json_encode(array('tzt'=>"\x0")); // выдаёт {"tzt":"\u0000"}
?>

Кажется, нет способов нарушить JSON. Зато я только что нарушил парсер Хабрахабра: в последних «"»-кавычках (в комментарии) вместо пустого места должно отображаться «\u» и за ним сразу «0000».

Comments

[Mithgol]

Ага, отображается. Но только на странице, а не при предпросмотре.

[Павло Пономаренко]

хабрапарсер мудацкий не только парсингом, но и тем, что в разных местах парсит по разному.
лучше бы уже ббкод прикрутили опционально

Answer 3

[Wott]

Смотря чего и куда вставлять. JSON сам по себе это транспорт — если юзер в комментариях вобьет XSS, то он честно будет передан через json заэскейплен и все такое, но как только его, как кусок html, вставят в текст страницы, то тут он и будет кусаться.

Опять же если возвращать форму заполненную пользователем, ему же и обратно — да на здоровье пусть хоть что вставляет. А вот в публичный доступ — уже не хорошо.

Comments

[Wott]

плохо понимаю как можно использовать сие как xss :)

[Hint]

В моем случае параметры поиска передаются через GET и хранятся в самой странице, как json (для вспомогательных ajax запросов и быстрого поиска). Соответственно можно сформировать нужный URL и подсунуть его пользователю.

[Wott]

на своей странице пользователь может и так все переопределить через подключаемые скрипты в браузере.

Проблема может быть если данные от одного пользователя передаются другому.