Skip to content

yandex-ui/nanoislands-check-nb-call

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

43 Commits
bin
bin
 
 
lib
lib
 
 
test
test
 
 
.gitignore
.gitignore
 
 
.jscs.json
.jscs.json
 
 
.jshintignore
.jshintignore
 
 
.jshintrc
.jshintrc
 
 
.travis.yml
.travis.yml
 
 
LICENSE
LICENSE
 
 
Makefile
Makefile
 
 
README.md
README.md
 
 
package.json
package.json
 
 

Repository files navigation

nanoislands-check-nb-call

Build Status NPM version Dependency Status

Прототип защиты от XSS в nanoislands.

Проблема состоит в том, что часто надо прокидывать html-разметку в вызовы nb-*. Но это черевато XSS.

Чтобы упростить API, в nanoislands делается вот так:


match / {
    islandHTMLContent = apply / island-content
    nb-island({
        content: islandHTMLContent 
    })
}

func nb-island (obj) {
    // ...
    
    // вставляем .content как есть без эскейпинга
    html(.content)

    // ...
}

Алгоритм проверки

Всё - теоретический XSS!

Есть два типа разрешенных вызова:

  1. content имеет тип xml, т.е. прошел через yate и безопасен для вставки. Сюда попадают и вызовы функций, возвращающие xml.
  2. content имеет тип scalar, вычисляем (т.е. статичен) и не имеет <>
nb-island({
        content: 'OK' 
})
nb-island({
        content: 'OK &lt;' 
})
nb-island({
        content: '<FAIL>' 
})

Проверяются все свойства *content* (в т.ч. buttonContent, leftContent и т.п.) в вызовах nb-функций.

Игнорируется свойство content для nb-input и nb-textarea, потому что оно используются безопасно.

Запуск

$ node ./bin/nb-check-call my-templates.yate

About

Dummy checks to prevent XSS in nanoislands yate templates

Resources

Readme

License

MIT license
Activity
Custom properties

Stars

0 stars

Watchers

5 watching

Forks

0 forks
Report repository

Releases

5 tags

Packages

No packages published

Contributors 3

  •  
  •  
  •  

Languages