Sanitizer API baru bertujuan untuk membuat prosesor yang andal agar string arbitrer dapat disisipkan dengan aman ke dalam halaman.
Aplikasi selalu menangani string yang tidak tepercaya, tetapi merender konten tersebut dengan aman sebagai bagian dari dokumen HTML bisa jadi rumit. Tanpa kehati-hatian yang memadai, Anda dapat dengan mudah secara tidak sengaja menciptakan peluang untuk pembuatan skrip lintas situs (XSS) yang dapat dimanfaatkan oleh penyerang berbahaya.
Untuk mengurangi risiko tersebut, proposal Sanitizer API baru bertujuan untuk membuat prosesor yang andal agar string arbitrer dapat disisipkan dengan aman ke dalam halaman. Artikel ini memperkenalkan API, dan menjelaskan penggunaannya.
// Expanded Safely !!
$div.setHTML(`<em>hello world</em><img src="" onerror=alert(0)>`, new Sanitizer())
Mengekskresi input pengguna
Saat menyisipkan input pengguna, string kueri, konten cookie, dan sebagainya, ke dalam DOM, string harus di-escape dengan benar. Perhatian khusus harus diberikan pada manipulasi DOM melalui .innerHTML
, dengan string yang tidak di-escape adalah sumber XSS yang umum.
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>`
$div.innerHTML = user_input
Jika Anda meng-escape karakter khusus HTML dalam string input di atas atau memperluasnya menggunakan .textContent
, alert(0)
tidak akan dieksekusi. Namun, karena <em>
yang ditambahkan oleh pengguna juga diperluas sebagai string apa adanya, metode ini tidak dapat digunakan untuk mempertahankan dekorasi teks dalam HTML.
Hal terbaik yang harus dilakukan di sini bukanlah escape, tetapi sanitasi.
Membersihkan input pengguna
Perbedaan antara escape dan pembersihan
Escaping mengacu pada penggantian karakter HTML khusus dengan Entity HTML.
Pembersihan mengacu pada penghapusan bagian yang berbahaya secara semantik (seperti eksekusi skrip) dari string HTML.
Contoh
Pada contoh sebelumnya, <img onerror>
menyebabkan pengendali error dijalankan, tetapi jika pengendali onerror
dihapus, Anda dapat memperluasnya dengan aman di DOM tanpa mengubah <em>
.
// XSS 🧨
$div.innerHTML = `<em>hello world</em><img src="" onerror=alert(0)>`
// Sanitized ⛑
$div.innerHTML = `<em>hello world</em><img src="">`
Untuk melakukan pembersihan dengan benar, Anda harus mengurai string input sebagai HTML, menghapus tag dan atribut yang dianggap berbahaya, dan mempertahankan tag dan atribut yang tidak berbahaya.
Spesifikasi Sanitizer API yang diusulkan bertujuan untuk menyediakan pemrosesan tersebut sebagai API standar untuk browser.
Sanitizer API
Sanitizer API digunakan dengan cara berikut:
const $div = document.querySelector('div')
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>`
$div.setHTML(user_input, { sanitizer: new Sanitizer() }) // <div><em>hello world</em><img src=""></div>
Namun, { sanitizer: new Sanitizer() }
adalah argumen default. Jadi, tampilannya bisa seperti di bawah.
$div.setHTML(user_input) // <div><em>hello world</em><img src=""></div>
Perlu diperhatikan bahwa setHTML()
ditentukan di Element
. Sebagai metode Element
, konteks yang akan diuraikan sudah jelas (<div>
dalam hal ini), penguraian dilakukan sekali secara internal, dan hasilnya langsung diperluas ke dalam DOM.
Untuk mendapatkan hasil sanitasi sebagai string, Anda dapat menggunakan .innerHTML
dari hasil setHTML()
.
const $div = document.createElement('div')
$div.setHTML(user_input)
$div.innerHTML // <em>hello world</em><img src="">
Menyesuaikan melalui konfigurasi
Sanitizer API dikonfigurasi secara default untuk menghapus string yang akan memicu eksekusi skrip. Namun, Anda juga dapat menambahkan penyesuaian Anda sendiri ke proses pembersihan melalui objek konfigurasi.
const config = {
allowElements: [],
blockElements: [],
dropElements: [],
allowAttributes: {},
dropAttributes: {},
allowCustomElements: true,
allowComments: true
};
// sanitized result is customized by configuration
new Sanitizer(config)
Opsi berikut menentukan cara hasil pembersihan harus memperlakukan elemen yang ditentukan.
allowElements
: Nama elemen yang harus dipertahankan oleh pembersih.
blockElements
: Nama elemen yang harus dihapus oleh pembersih, sambil mempertahankan turunannya.
dropElements
: Nama elemen yang harus dihapus oleh pembersih, beserta turunannya.
const str = `hello <b><i>world</i></b>`
$div.setHTML(str)
// <div>hello <b><i>world</i></b></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowElements: [ "b" ]}) })
// <div>hello <b>world</b></div>
$div.setHTML(str, { sanitizer: new Sanitizer({blockElements: [ "b" ]}) })
// <div>hello <i>world</i></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowElements: []}) })
// <div>hello world</div>
Anda juga dapat mengontrol apakah pembersih akan mengizinkan atau menolak atribut yang ditentukan dengan opsi berikut:
allowAttributes
dropAttributes
Properti allowAttributes
dan dropAttributes
mengharapkan daftar kecocokan atribut—objek yang kuncinya adalah nama atribut, dan nilainya adalah daftar elemen target atau karakter pengganti *
.
const str = `<span id=foo class=bar style="color: red">hello</span>`
$div.setHTML(str)
// <div><span id="foo" class="bar" style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {"style": ["span"]}}) })
// <div><span style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {"style": ["p"]}}) })
// <div><span>hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {"style": ["*"]}}) })
// <div><span style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({dropAttributes: {"id": ["span"]}}) })
// <div><span class="bar" style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {}}) })
// <div>hello</div>
allowCustomElements
adalah opsi untuk mengizinkan atau menolak elemen kustom. Jika diizinkan, konfigurasi lain untuk elemen dan atribut tetap berlaku.
const str = `<custom-elem>hello</custom-elem>`
$div.setHTML(str)
// <div></div>
const sanitizer = new Sanitizer({
allowCustomElements: true,
allowElements: ["div", "custom-elem"]
})
$div.setHTML(str, { sanitizer })
// <div><custom-elem>hello</custom-elem></div>
Platform API
Perbandingan dengan DomPurify
DOMPurify adalah library terkenal yang menawarkan fungsi pembersihan. Perbedaan utama antara Sanitizer API dan DOMPurify adalah DOMPurify menampilkan hasil pembersihan sebagai string, yang perlu Anda tulis ke elemen DOM melalui .innerHTML
.
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>`
const sanitized = DOMPurify.sanitize(user_input)
$div.innerHTML = sanitized
// `<em>hello world</em><img src="">`
DOMPurify dapat berfungsi sebagai pengganti saat Sanitizer API tidak diterapkan di browser.
Implementasi DOMPurify memiliki beberapa kelemahan. Jika string ditampilkan, string input akan diuraikan dua kali, oleh DOMPurify dan .innerHTML
. Pemrosesan ganda ini membuang-buang waktu pemrosesan, tetapi juga dapat menyebabkan kerentanan menarik yang disebabkan oleh kasus saat hasil penguraian kedua berbeda dengan yang pertama.
HTML juga memerlukan konteks untuk diuraikan. Misalnya, <td>
masuk akal di <table>
, tetapi tidak di <div>
. Karena DOMPurify.sanitize()
hanya menggunakan string sebagai argumen, konteks penguraian harus ditebak.
Sanitizer API meningkatkan pendekatan DOMPurify dan dirancang untuk menghilangkan kebutuhan penguraian ganda dan memperjelas konteks penguraian.
Status API dan dukungan browser
Sanitizer API sedang dibahas dalam proses standardisasi dan Chrome sedang dalam proses menerapkannya.
Langkah | Status |
---|---|
1. Membuat penjelasan | Selesai |
2. Membuat draf spesifikasi | Selesai |
3. Mengumpulkan masukan dan melakukan iterasi pada desain | Selesai |
4. Uji coba origin Chrome | Selesai |
5. Luncurkan | Intent to Ship di M105 |
Mozilla: Menganggap proposal ini layak dibuat prototipenya, dan secara aktif menerapkannya.
WebKit: Lihat respons di mailing list WebKit.
Cara mengaktifkan Sanitizer API
Mengaktifkan melalui opsi about://flags
atau CLI
Chrome
Chrome sedang dalam proses menerapkan Sanitizer API. Di Chrome 93 atau yang lebih baru, Anda dapat mencoba perilaku ini dengan mengaktifkan tanda about://flags/#enable-experimental-web-platform-features
. Di versi Chrome Canary dan saluran Dev sebelumnya, Anda dapat mengaktifkannya melalui --enable-blink-features=SanitizerAPI
dan mencobanya sekarang. Lihat petunjuk cara menjalankan Chrome dengan flag.
Firefox
Firefox juga menerapkan Sanitizer API sebagai fitur eksperimental. Untuk mengaktifkannya, tetapkan tanda dom.security.sanitizer.enabled
ke true
di about:config
.
Deteksi fitur
if (window.Sanitizer) {
// Sanitizer API is enabled
}
Masukan
Jika Anda mencoba API ini dan memiliki beberapa masukan, kami ingin mendengarnya. Bagikan pendapat Anda tentang masalah GitHub Sanitizer API dan diskusikan dengan penulis spesifikasi dan orang-orang yang tertarik dengan API ini.
Jika Anda menemukan bug atau perilaku tak terduga dalam penerapan Chrome, laporkan bug untuk melaporkannya. Pilih komponen Blink>SecurityFeature>SanitizerAPI
dan bagikan detail untuk membantu pelaksana melacak masalah.
Demo
Untuk melihat cara kerja Sanitizer API, lihat Sanitizer API Playground oleh Mike West:
Referensi
- Spesifikasi HTML Sanitizer API
- Repositori WICG/sanitizer-api
- FAQ Sanitizer API
- Dokumentasi referensi HTML Sanitizer API di MDN
Foto oleh Towfiqu barbhuiya di Unsplash.