## DOMPurify 安全更新：关键 mXSS 漏洞修复，影响主流 HTML 净化库
一个关键的突变跨站脚本（mXSS）漏洞已被确认存在于广泛使用的 HTML 净化库 DOMPurify 中。当经过净化的 HTML 被重新插入到新的解析上下文（如使用 `innerHTML`）时，如果使用了特定的包装元素，攻击者可能绕过安全防护，执行恶意脚本。这一漏洞直接威胁到依赖 DOMPurify 来防御 XSS 攻击的无数 Web 应用程序的安全基础。

该漏洞的标识为 GHSA-h8r8-wccr-v5f2，由 Cure53 团队维护的 DOMPurify 项目在其安全公告中披露。受影响的包装元素包括 `script`、`xmp`、`iframe`、`noembed`、`noframes` 和 `noscript`。关键在于，恶意负载在初始净化阶段可能看起来是无害的，但在后续的 DOM 操作和重新解析过程中会发生突变，从而激活并执行。这暴露了现代浏览器解析引擎与安全库交互时一个复杂且危险的攻击面。

此次更新从 3.2.6 版本升级至 3.3.2 版本，旨在修补这一漏洞。对于任何处理用户生成或不受信任的 HTML 内容的应用（如论坛、评论系统、富文本编辑器、邮件客户端等），这是一个必须立即应用的高优先级安全补丁。未能及时更新的项目将面临其核心 XSS 防御机制被绕过的风险，可能导致用户数据被盗、会话劫持或其他客户端攻击。依赖自动化依赖管理工具（如 Renovate Bot）的团队应验证其配置是否已触发此关键更新。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: cybersecurity, vulnerability, open-source, web-security, dependency-management
- **Credibility**: unverified
- **Published**: 2026-03-28 10:27:00
- **ID**: 38934
- **URL**: https://whisperx.ai/en/intel/38934