关键信息 漏洞类型: DOM-XSS via postMessage 影响版本: CleverTap Web SDK v1.15.2 及更早版本 问题描述: - SDK 接收未验证的经由 传送的数据,直接注入到页面DOM中, 使攻击者能创建恶意消息, 该消息在 中进行处理, 导致在目标站点上下文中执行任意JavaScript。 - 尝试通过验证 来缓解此DOM XSS问题, 但这是不够的, 使用诸如 验证源自, 但可以使用子域名 (如 ) 来绕过。 漏洞体现在: - SDK 监听传入的消息, 并将它们JSON解析。 - 它获取 字段, 并以HTML执行方式添加给 。 - 通过 使 标签和HTML内的事件处理器被执行。 - 对不信任的输入没有足够的过滤或编码。 - 在 版本中, SDK 引入了以下原点检查, 仍能被绕过。 概念验证示例: 引入自: Pull Request #417, 具体行数 修复情况: - 用 修复了此漏洞。 - 相关问题 #442 被提及。 - 问题 于2025年8月14日被 关闭。