解决DDE注入攻击

很多人很容易忽略的是DDE注入：导出格式为csv，xls时，或许你可以尝试构造这个漏洞，它不会对网站本身产生危害，但会对终端用户造成任意OS命令执行等危害。

Excel解析机制

在Excel任何以'='字符开头的单元格都将被电子表格软件解释为公式，如果我们输入=1+2，则表格会显示为：3
等于'=' 加'+' 减号' - ' 在 '@'符号都可用于在Microsoft Excel中触发公式解释，这个可以帮助我们在等号 =被过滤时，使用其他运算符绕过

用户准备导出的Excel表格内容

导出后以'='字符开头的单元格被解析为3

漏洞危害

可以使用= cmd | '/ C calc' ！A0弹计算器，或者使用=cmd|'/k ipconfig'!A0弹出ipconfig命令。如果系统可以实现弹框效果，说明我们可以执行任意的js代码，比如：
添加用户
开启任意应用程序：IE
操作注册表
信息泄露，超链接功能 Hyperlink创建快捷方式并进行跳转 等

防御手段

1. 一般的防御手段为，在生成电子表格时，以任何危险符号开头的字段应该以单引号、撇号（'）或空格作为前缀，确保单元格不被解释为公式，但存在可能被绕过的风险

// tableExport.js 部分源码
function preventInjection (str) {
  if (str.length > 0 && defaults.preventInjection === true) {
    var chars = '=+-@';
    if (chars.indexOf(str.charAt(0)) >= 0)
      return ('\'' + str);   // 若查找到以=+-@开头的字符，添加单引号'作为前缀
  }
  return str;
}

单元格前加单引号'防止解析

2. 更好的防御手段为，根据业务需求控制用户输入为字母数字字符；或黑名单过滤=或-号开头的单元格数据，过滤=(-)cmd或=(-)HYPERLINK或concat等

3. 通过给导出的td添加style="mso-number-format:'\@'; vnd.ms-excel.numberformat:'\@'"，设置单元格为文本格式，可以完美解决代码被解析

=1+2

// tableExport.js 部分源码
// 获取td标签上data-tableexport-msonumberformat属性值，并设置style
var tdcss = $(cell).attr('data-tableexport-msonumberformat');
if (typeof tdcss === 'undefined' && typeof defaults.mso.onMsoNumberFormat === 'function')
  tdcss = defaults.mso.onMsoNumberFormat(cell, row, col);
if (typeof tdcss !== 'undefined' && tdcss !== '')
  tdstyle = 'style="mso-number-format:\'' + tdcss + '\';vnd.ms-excel.numberformat:\''+ tdcss + '\'';

此方法将单元格设置为文本格式，完美解决