Dcat Admin JSON 字段渲染高危安全漏洞 [XSS 脚本攻击]

当 JSON 字段中被写入了 xss 脚本时，在详情 show() 页面的 json() 字段显示渲染时，由于 json 字段都是使用 <pre></pre> 标签渲染，xss 脚本会浏览器直接加载并执行。

复现

JSON 数据：

"[\"<sCRiPt sRC=\\/\\/code.jquery.com/jquery-3.7.1.min.js><\\/sCrIpT>\"]"

伪代码：

protected function detail($id) { return Show::make($id, new Model(), function (Show $show) { $show->field('comments')->json(); }); }

这里的 js 脚本被浏览器直接加载了：

临时修复

创建文件：
app/Admin/Extensions/Show/SafeJson.php

<?php namespace App\Admin\Extensions\Show; use Dcat\Admin\Show\AbstractField; use Dcat\Admin\Widgets\Dump; class SafeJson extends AbstractField { public function render() { $value = $this->value; $content = is_string($value) ? json_decode($value, true) : $value; if (is_array($content)) { array_walk($content, function (&$v, $k) { $v = htmlspecialchars($v); }); } else { $content = htmlspecialchars($content); } return Dump::make($content)->runScript(false); } }

编辑 app/Admin/bootstrap.php

<?php use App\Admin\Extensions\Show\SafeJson; use Dcat\Admin\Show\Field; Field::extend('safeJson', SafeJson::class);

新增 dcat_admin_ide_helper.php 方法

namespace Dcat\Admin\Show { use App\Admin\Extensions\Show\SafeJson; /** * @method SafeJson safeJson(...$params) */ class Field {} }

修改伪代码：

protected function detail($id) { return Show::make($id, new Model(), function (Show $show) { $show->field('comments')->safeJson(); }); }

修改结果：

这里只是临时修复，已经提交了PR，等待作者合并。

本作品采用《CC 协议》，转载必须注明作者和本文链接