关于淘宝商品详情模板开启安全过滤通知
发布于: 2015-11-02 16:15:24
尊敬的开发者:
您好,近期发现一些恶意卖家利用商品详情及宝贝描述可以插入HTML元素的功能,写入恶意代码,进行XSS漏洞攻击。为了避免此类攻击给消费者和商家造成损失,淘宝对详情页模板开启了安全过滤,过滤规则如下:
l 过滤危险html tag
l 执行css规则扫描
l 所有的link的校验只能是阿里集团网站URL
l 严格的非法字符过滤,只保留:Char ::= #x9| #xA | #xD | [#x20-#xD7FF]| [#xE000-#xFFFD]| [#x10000-#x10FFFF]
l html规范化处理
l 修复文档中的非法字符, 包括标记,属性名字,文本等
l 确保"--"不会出现在注释中
l 确保"]]>"不会出现在 CDATA块中
l 确保所有的 xml声明都是合法的。
l 严格的白名单机制保证输入安全
请各位开发者做好准备。
如有问题,可请直接反馈至支持中心:http://open.taobao.com/support/index.htm。
阿里巴巴·开放平台
2015年11月2日
【提醒】 在原来的模板中有一些样式相关的代码可能会被过滤掉,当前的安全过滤只是针对可能存在安全风险的属性、样式进行过滤,其他一些正常的样式代码还是可以使用的。模板开发人员可在style属性中用css代码来实现相关样式功能,请知晓。
【科普】:
XSS跨站脚本漏洞, 指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行攻击的方式。
例如恶意用户在模板中输入下列代码:
浏览器渲染代码后,最终会执行title属性中被插入的恶意javascript代码,攻击者可利用XSS漏洞获取用户cookie,传播蠕虫,篡改页面或进行钓鱼等,导致浏览页面的买家、卖家受到影响。