Me preguntaba si esta función sería vulnerable a XSS.
var url = "google.com";
if (url.indexOf("http") != 0) {
url = "http://" + url;
}
$("<a/>").attr("href", url);
La 'url' es la entrada del usuario, y el <a/> se colocaría en alguna página web.
No pude encontrar una manera de ejecutar código javascript en esta función. Pero antes de implementar esto, sería bueno que alguien pueda echar un vistazo.
Lo que realmente hace jQuery cuando usas attr(name, value) es llamar a setAttribute(name, value) en los elementos DOM relevantes. No estoy en casa en la fuente jQuery, pero creo que esta es la parte relevante . Esto significa que no puedes escapar del contexto de atributo. Así que es tan seguro como lo es la vainilla JS.
Lo que debes tener en cuenta es lo siguiente:
onclick . A menos que haga una lista blanca, solo permita que el usuario controle el valor. href , ya que puedes hacer algo como javascript:alert("XSS"); . Otros ejemplos son style y controladores de eventos JS. Sin embargo, como te aseguras de que el valor siempre comience con http , estarás bien. Como se muestra en su código de ejemplo, no hay desinfección del usuario antes de colocarlo en el código HTML.
Con el uso de una carga útil, como: domain.com" onmouseenter="alert(1)
Esto irá directamente a la etiqueta y se ejecutará del lado del cliente.
Cualquier atributo de script que sea válido para esa etiqueta se ejecutará del lado del cliente. Este stackoverflow tiene una función para sanear la entrada en jQuery.
Lea otras preguntas en las etiquetas xss javascript jquery