DOMPurify < 2.0.17 命名空间混淆绕过分析<\/h1>

1. 漏洞概述<\/h2>
本漏洞利用HTML规范中的命名空间特性和表单元素解析规则，通过精心构造的HTML标记绕过DOMPurify的过滤机制，最终实现跨站脚本攻击(XSS)。该漏洞影响DOMPurify 2.0.17之前的版本。<\/p>

2. 关键概念<\/h2>

2.1 DOMPurify工作原理<\/h3>

DOMPurify的工作流程：<\/p>

将输入HTML解析为DOM树<\/li>
遍历DOM树，删除所有不在白名单中的元素和属性<\/li>
将过滤后的DOM树序列化为HTML字符串<\/li>

返回安全的HTML字符串<\/li> <\/ol>

典型使用方式：<\/p>

div<\/span>.innerHTML<\/span> =<\/span> DOMPurify<\/span>.sanitize<\/span>(htmlMarkup<\/span>);
<\/span><\/span><\/code><\/pre>2.2 HTML解析与序列化的不一致性<\/h3>
HTML规范明确指出：序列化DOM树后再解析，不保证<\/strong>返回原始DOM结构。这种不一致性是mXSS(突变XSS)的根本原因。<\/p>
2.3 表单元素的特殊解析规则<\/h3>
HTML规范中表单元素(<form><\/code>)的特殊性：<\/p>

表单元素不能嵌套<\/li>
解析器使用"表单元素指针"跟踪当前表单<\/li>
结束标签<\/form><\/code>会将表单元素指针设为null<\/li>
<\/ul>
特殊嵌套示例<\/strong>：<\/p>
<form<\/span> id<\/span>=<\/span>"outer"<\/span>><div<\/span>><\/form<\/span>><form<\/span> id<\/span>=<\/span>"inner"<\/span>><input<\/span>>
<\/span><\/span><\/code><\/pre>解析后会产生嵌套的表单结构，但序列化后再解析会消除嵌套。<\/p>
2.4 HTML命名空间与外部内容<\/h3>
HTML解析器涉及三种命名空间：<\/p>

HTML命名空间 (http:\/\/www.w3.org\/1999\/xhtml<\/code>)<\/li>
SVG命名空间 (http:\/\/www.w3.org\/2000\/svg<\/code>)<\/li>
MathML命名空间 (http:\/\/www.w3.org\/1998\/Math\/MathML<\/code>)<\/li>
<\/ol>
命名空间切换规则<\/strong>：<\/p>

遇到<svg><\/code>切换到SVG命名空间<\/li>
遇到<math><\/code>切换到MathML命名空间<\/li>
<\/ul>
2.5 集成点(Integration Points)<\/h3>
MathML文本集成点<\/strong>：<\/p>

<math><\/code>, <mi><\/code>, <mo><\/code>, <mn><\/code>, <ms><\/code>, <mtext><\/code><\/li>
<\/ul>
HTML集成点<\/strong>：<\/p>

<math annotation-xml><\/code> (当encoding属性为text\/html<\/code>或application\/xhtml+xml<\/code>)<\/li>
<svg foreignObject><\/code>, <svg desc><\/code>, <svg title><\/code><\/li>
<\/ul>
2.6 特殊元素mglyph和malignmark<\/h3>
在MathML文本集成点中，只有<\/strong><mglyph><\/code>和<malignmark><\/code>作为直接子元素时保持MathML命名空间，其他元素默认切换到HTML命名空间。<\/p>
3. 漏洞利用分析<\/h2>
3.1 利用Payload<\/h3>
<form<\/span>><math<\/span>><mtext<\/span>><\/form<\/span>><form<\/span>><mglyph<\/span>><style<\/span>><\/math><\/span>
<\/span><\/span><\/code><\/pre>3.2 解析过程<\/h3>
初始解析<\/strong>：<\/p>

第一个<form><\/code>打开，设置表单元素指针<\/li>
<math><\/code>切换到MathML命名空间<\/li>
<mtext><\/code>是MathML文本集成点<\/li>
<\/form><\/code>关闭表单，指针设为null<\/li>
第二个<form><\/code>打开<\/li>
<mglyph><\/code>作为<form><\/code>的子元素，在HTML命名空间<\/li>
<style><\/code>在HTML命名空间，内容作为文本处理<\/li>
<\/ol>
过滤后DOM树<\/strong>：<\/p>
- html:form
  - mathml:math
    - mathml:mtext
      - html:form
        - html:mglyph
          - html:style
            - 文本内容: "<\/math>"
<\/code><\/pre>
序列化后HTML<\/strong>：<\/p>
<form<\/span>><math<\/span>><mtext<\/span>><form<\/span>><mglyph<\/span>><style<\/span>><\/<\/span>math<\/span>><\/span><\/style<\/span>><\/mglyph<\/span>><\/form<\/span>><\/mtext<\/span>><\/math<\/span>><\/form<\/span>>
<\/span><\/span><\/code><\/pre>重新解析时<\/strong>：<\/p>

第一个<form><\/code>打开<\/li>
<math><\/code>切换到MathML命名空间<\/li>
<mtext><\/code>是MathML文本集成点<\/li>
尝试打开第二个<form><\/code>，但由于在<mtext><\/code>内，表单元素指针不为null，第二个<form><\/code>被忽略<\/li>
<mglyph><\/code>现在是<mtext><\/code>的直接子元素，保持在MathML命名空间<\/li>
<style><\/code>在MathML命名空间，内容不被视为文本<\/li>
<\/math><\/code>关闭MathML命名空间<\/li>
``在HTML命名空间创建，执行XSS<\/li>
<\/ol>
3.3 关键点<\/h3>

表单嵌套的解析差异<\/strong>：初始解析允许特殊形式的嵌套，但重新解析时会消除嵌套<\/li>
mglyph的命名空间变化<\/strong>：初始在HTML命名空间，重新解析后在MathML命名空间<\/li>
style元素的解析差异<\/strong>：HTML命名空间的style内容作为文本，MathML命名空间的style内容作为标记解析<\/li>
<\/ol>
4. 相关变种<\/h2>
另一个利用相同原理的Payload：<\/p>
<math<\/span>><mtext<\/span>><table<\/span>><mglyph<\/span>><style<\/span>><math><table id="<\/table>"><\/span>
<\/span><\/span><\/code><\/pre>5. 防御建议<\/h2>


避免序列化-解析往返<\/strong>：使用DOMPurify的RETURN_DOM<\/code>或RETURN_DOM_FRAGMENT<\/code>选项<\/p>
\/\/ 推荐用法
<\/span><\/span><\/span><\/span>const<\/span> cleanDOM<\/span> =<\/span> DOMPurify<\/span>.sanitize<\/span>(html<\/span>, {RETURN_DOM<\/span>:<\/span> true<\/span>});
<\/span><\/span><\/code><\/pre><\/li>

升级DOMPurify<\/strong>：确保使用2.0.17或更高版本<\/p>
<\/li>

理解HTML解析复杂性<\/strong>：开发者应充分了解HTML解析的特殊情况，特别是命名空间和元素嵌套规则<\/p>
<\/li>
<\/ol>
6. 总结<\/h2>
该漏洞展示了HTML解析器复杂性与安全过滤器的交互问题，通过：<\/p>

滥用表单元素的解析特性<\/li>
利用MathML命名空间中的特殊元素行为<\/li>
依赖序列化-解析过程的不一致性<\/li>
<\/ul>
实现了对DOMPurify的绕过，强调了在安全过滤中直接操作DOM而非序列化HTML的重要性。<\/p>

DOMPurify < 2.0.17 命名空间混淆绕过分析<\/h1>

1. 漏洞概述<\/h2> 本漏洞利用HTML规范中的命名空间特性和表单元素解析规则，通过精心构造的HTML标记绕过DOMPurify的过滤机制，最终实现跨站脚本攻击(XSS)。该漏洞影响DOMPurify 2.0.17之前的版本。<\/p>

2. 关键概念<\/h2>

2.2 HTML解析与序列化的不一致性<\/h3> HTML规范明确指出：序列化DOM树后再解析，不保证<\/strong>返回原始DOM结构。这种不一致性是mXSS(突变XSS)的根本原因。<\/p>

2.6 特殊元素mglyph和malignmark<\/h3> 在MathML文本集成点中，只有<\/strong><mglyph><\/code>和<malignmark><\/code>作为直接子元素时保持MathML命名空间，其他元素默认切换到HTML命名空间。<\/p>

1. 漏洞概述<\/h2>
本漏洞利用HTML规范中的命名空间特性和表单元素解析规则，通过精心构造的HTML标记绕过DOMPurify的过滤机制，最终实现跨站脚本攻击(XSS)。该漏洞影响DOMPurify 2.0.17之前的版本。<\/p>

2.2 HTML解析与序列化的不一致性<\/h3>
HTML规范明确指出：序列化DOM树后再解析，不保证<\/strong>返回原始DOM结构。这种不一致性是mXSS(突变XSS)的根本原因。<\/p>

2.6 特殊元素mglyph和malignmark<\/h3>
在MathML文本集成点中，只有<\/strong>`<mglyph><\/code>和<malignmark><\/code>作为直接子元素时保持MathML命名空间，其他元素默认切换到HTML命名空间。<\/p>`