DOMPurify 3.4.0 漏洞总结 漏洞概述 DOMPurify 3.4.0 版本修复了多个安全漏洞,包括原型污染、绕过过滤机制、URI 验证跳过、mXSS 攻击等问题。 影响范围 使用 和 配置的用户 使用 / 函数配置的用户 使用 配置的用户 使用 配置的用户 使用 配置的用户 使用 函数绕过 的用户 使用 谓词跳过 URI 验证的用户 使用 和 报告的漏洞 修复方案 修复 无法覆盖 的问题 修复 MathML 属性相关的多个小问题和拼写错误 修复 / 函数泄漏到后续基于数组的调用 修复 在 路径中缺少 scrub 修复通过 的原型污染 修复 函数形式绕过 修复 谓词跳过 URI 验证 修复通过 的原型污染 修复通过 Re-Contextualization 导致的可能 mXSS 修复闭合标签导致的可能 mXSS 修复 Node 版本升级后的类型定义补丁问题 减少测试浏览器数组以修复 BS 冻结 更新依赖项 添加 OpenSSF 评分检查所需文件 相关资源 已发布的安全公告:https://github.com/cure53/DOMPurify/security/advisories?state=published 贡献者:@kodareef5, @DavidOliver, @tjesper1, @bencalif, @trace37labs, @eddieran, @christos-eth, @researchatfluidattacks, @frevadiscor