38 подписчиков

🔒 Мой опыт поиска и защиты от DOM XSS уязвимостей

30 июля 202530 июл 2025

1 мин

Недавно я столкнулся с интересной и опасной уязвимостью — DOM-based XSS (межсайтовый скриптинг на основе DOM). Это не обычная XSS, которую ловят на сервере, а более хитрая атака, которая работает прямо в браузере жертвы. Расскажу, как я её обнаружил и что сделал, чтобы защитить свой проект. 🕵️‍♂️ DOM XSS возникает, когда JavaScript берёт данные из ненадёжного источника (например, из URL) и вставляет их в опасные места на странице (sinks), такие как: Пример уязвимого кода: Если злоумышленник подставит в URL что-то вроде: — то в браузере выполнится вредоносный скрипт. Обнаружил уязвимость в коде jQuery: Оказалось, если в хеше (#) передать <img src=x onerror=alert(1)>, то jQuery вставит его в DOM и выполнит код! DOM XSS — коварная уязвимость, потому что её не видно в исходном коде страницы (она работает уже в браузере). Но если проверять все места, где данные попадают в DOM, и использовать безопасные методы, риск можно минимизировать. Совет: всегда проверяйте сторонние библиотеки (jQuery

Оглавление

🤔 Что такое DOM XSS?
🔍 Как я искал DOM XSS в своём проекте
🛡️ Как я защитился от DOM XSS

Недавно я столкнулся с интересной и опасной уязвимостью — DOM-based XSS (межсайтовый скриптинг на основе DOM). Это не обычная XSS, которую ловят на сервере, а более хитрая атака, которая работает прямо в браузере жертвы. Расскажу, как я её обнаружил и что сделал, чтобы защитить свой проект. 🕵️‍♂️

🤔 Что такое DOM XSS?

DOM XSS возникает, когда JavaScript берёт данные из ненадёжного источника (например, из URL) и вставляет их в опасные места на странице (sinks), такие как:

innerHTML
document.write()
eval()
и другие функции, которые могут выполнить код.

Пример уязвимого кода:

Если злоумышленник подставит в URL что-то вроде:

— то в браузере выполнится вредоносный скрипт.

🔍 Как я искал DOM XSS в своём проекте

Проверил все места, где данные из URL попадают в DOM 🌐
location.search, location.hash, document.referrer — всё это потенциальные источники атаки.
Искал опасные функции (sinks) ⚠️
innerHTML, outerHTML, document.write(), eval(), jQuery-методы (html(), append()) и другие.
Тестировал с помощью простых payloads �
Вставлял "><script>alert(1)</script> и смотрел, сработает ли.

Обнаружил уязвимость в коде jQuery:

Оказалось, если в хеше (#) передать <img src=x onerror=alert(1)>, то jQuery вставит его в DOM и выполнит код!

🛡️ Как я защитился от DOM XSS

Экранировал данные перед вставкой в DOM 🛡️
Использовал textContent вместо innerHTML, если не нужен HTML.
Для динамического HTML применял санитайзеры, например DOMPurify.
Отказался от опасных функций 🚫
Заменил eval() на JSON.parse().
Перестал использовать document.write().
Настроил CSP (Content Security Policy) 🔒
Добавил заголовок:

— это блокирует выполнение inline-скриптов.

💡 Вывод

DOM XSS — коварная уязвимость, потому что её не видно в исходном коде страницы (она работает уже в браузере). Но если проверять все места, где данные попадают в DOM, и использовать безопасные методы, риск можно минимизировать.

Совет: всегда проверяйте сторонние библиотеки (jQuery, AngularJS) — они тоже могут быть источником проблем!

А вы сталкивались с DOM XSS? Делитесь в комментариях! 👇

#Security #WebDev #XSS #Программирование