漏洞总结:Dify ImagePreview 组件 DOM-based XSS 漏洞 漏洞概述 漏洞标题:DOM-based XSS in ImagePreview Component via Unsanitized Filename 漏洞类型:DOM-based Cross-Site Scripting (XSS) 受影响组件: 触发函数: (Lines 42-58) 根本原因: 1. 属性(源自文件名)从父组件传递给 。 2. 文件名包含用户可控数据。 3. 在新窗口渲染 Base64 图片时,使用 和模板字符串。 4. 被直接插入到 属性中,未进行 HTML 实体编码。 5. 攻击者可注入 标签突破属性上下文并执行 JavaScript。 影响范围 受影响产品:Dify (Web Frontend) 受影响版本:所有包含使用 逻辑的 组件的版本。 严重程度:High (CVSS Score: 6.1) 攻击场景: 恶意上传:攻击者上传带有 XSS payload 的文件名。 API 操纵:通过拦截 API 响应修改文件元数据。 工作流输出:创建工作流输出恶意图片元数据。 潜在危害**: 1. Session Hijacking (会话劫持) 2. Account Takeover (账户接管) 3. Data Theft (数据窃取) 4. Phishing (网络钓鱼) 5. Malware Distribution (恶意软件分发) 修复方案 推荐使用 DOM API 替代 ,或使用 HTML 实体编码。 方案 1:使用 DOM API (推荐) 方案 2:HTML 实体编码 POC 代码