DOMPurify 安全修复总结 漏洞概述 DOMPurify 库存在多个安全漏洞,主要涉及: 标签/属性注入:攻击者可能通过构造恶意输入绕过过滤机制 配置污染: 和 配置项可能被利用导致跨调用泄漏 属性覆盖: 优先级问题可能导致安全属性被覆盖 影响范围 所有使用 DOMPurify 库的 Web 应用 涉及用户输入处理、HTML 内容渲染的场景 受影响版本:commit c361baa 之前的版本 修复方案 1. 初始化安全配置: - 使用 初始化 而非空数组 - 防止原型链污染攻击 2. 防止配置泄漏: - 在 函数中重置 相关配置 - 确保每次调用时配置独立 3. 强化属性过滤: - 确保 始终优先于 - 添加 、 等敏感属性的额外检查 4. 代码变更详情: - 修改 和 等文件 - 共 9 个文件变更,+56 行新增,-10 行删除 关键代码变更