Evitar Javascript malicioso en las fuentes RSS

0

Estoy implementando un cliente RSS donde los usuarios pueden seleccionar fuentes y mostrarlas en un solo lugar.

Noté que algunas fuentes RSS tienen HTML en el elemento de descripción. ¿Esto significa que algunas fuentes podrían contener javascript malicioso?

¿Hay alguna forma segura de representar el HTML del feed? ¿O siempre debería suponer que podría ser malicioso?

Ejemplo:

<description>
  <script>
    window.location.href='http://fakebook.com'
  </script>
</description>
    
pregunta tmajest 28.04.2018 - 01:04
fuente

2 respuestas

1

Puedes simplemente desactivar javascript. Realmente no hay una buena razón por la que los elementos de las fuentes RSS deberían usarlo.

    
respondido por el Peter Harmann 28.04.2018 - 01:07
fuente
1

Las capacidades dependen de cómo se muestra el html. No creo que los ataques de las principales fuentes de alimentación sean una gran preocupación, pero podrían ser anuncios en línea que podrían ser malos. El vector más grande sería incrustar fuentes de sitio más pequeñas sin los controles que tienen los grandes jugadores; He visto un montón de RSS "hechos a mano", y me estremezco por lo que podría pasar por un conducto de ingenuos.

En términos de mostrarlo, puede desinfectarlo del lado del cliente con una lib, algunas RegExps o con controles de usuario-agente, dependiendo del agente. En un navegador, simplemente puede usar un CSP (política de seguridad de contenido) para protegerse contra la inclusión de scripts, incluidos los eventos molestos basados en atributos.

Es posible que los navegadores integrados no sean compatibles con las opciones de CSP, por lo que si ese es el caso, desinfecte muy bien. Por lo general, puede utilizar el DOM de un navegador integrado para convertir el marcado en texto de forma segura (establecer innerHTML, read innerText), que elimina todas las funciones HTML como enlaces e imágenes, pero garantiza la seguridad.     

respondido por el dandavis 28.04.2018 - 11:03
fuente

Lea otras preguntas en las etiquetas