JSDom不当加载本地资源

JSDom不当允许加载本地资源。现代浏览器的最佳实践要求的加载本地资源应该默认不允许。

从文档、JSDom并不在默认情况下,任何子资源负载。用户必须使资源/子资源的加载。例如,当创建一个新的JSDOM对象,资源项可以设置为“可用”,允许外部资源的加载:

const dom = new JSDOM(来源,{url: http://localhost: 8080 /,资源:“可用”});

这里的问题是,这个设置还支持本地资源的加载。例如,下面的代码片段检查JSDOM试图访问本地资源通过使用一个不存在的文件抛出一个错误:

const jsdom =要求(“jsdom”);const {JSDOM} = JSDOM;源= ' < iframe的src = " file: / / / does_not_exist " / > ';const dom = new JSDOM(来源,{url: http://localhost: 8080 /,资源:“可用”});console.log (dom.window。document.body.parentElement。outerHTML);

输出上述运行时:

~ / r / b / u / poc❯❯❯节点- v;npm - v;npm列表| grep jsdom;v15.8.0 v7.5.1 pocs@ /用户/用户/研究/浏览器/ jsdom / poc└──(电子邮件保护)~ / r / b / j / poc❯❯local_resources❯节点。js < html > <头> < /头> <身体> <iframe的src = " file: / / / does_not_exist " > <身体/ iframe > < / > < / html >错误:无法加载iframe:“文件:/ / / does_not_exist”onErrorWrapped(/用户/用户/研究/浏览器/ jsdom / poc / node_模块/ jsdom / lib / jsdom /浏览器/资源/ / -document-resource-loader.js:38:19)对象。检查(/用户/用户/研究/浏览器/ jsdom / poc / node_模块/ jsdom / lib / jsdom /浏览器/资源/资源-queue.js: 72:23) /用户/用户/研究/浏览器/ jsdom / poc / node_模块/ jsdom / lib / jsdom /浏览器/资源/资源-队列中。js: 124:14 processTicksAndRejections(节点:内部/过程/ task_队列:94:5)[错误:ENOENT:没有这样的文件或目录,打开' / does_not_exist '] {errno: 2,代码:“ENOENT”,系统调用:“开放”,路径:/ does_not_exist的}

虽然这个问题本身并不是很严重,当搭配脚本启用(runScripts参数被设置为“危险”),这可能让这些本地资源不仅仅是在恶意的方面,如漏出敏感信息。我们明白文档警告对启用这个特性不受信任的输入,但许多下游库和应用程序依赖于这个特性(如zombie.js)。在其他更多的复杂的应用程序,可能其他漏出向量可能没有启用脚本,如侧信道攻击通过CSS请求。我们了解后一种情况是不太可能,但把它说明仅仅离开脚本残疾并不一定是缓解。

我们强烈建议添加一个额外的参数,如“localResources”来启用这个功能与现有的“资源”参数。例如,在Google chrome启用本地资源,它必须使用“——allow-file-access-from推出文件”旗帜。

注意:JSDom争端这一发现的维护者(s)和不同意这是一个安全问题。维护者的:“当你显式地选择加载的数据通过资源:“可用的”,你选择在漏出。当你在与runScripts脚本执行显式地选择:“危险”,你更倾向于运行任意节点。js代码在您的机器上。”