xss的DOMPurify过滤框架:一个循环问题以及两个循环问题

已于 2022-08-02 16:56:52 修改
阅读量1.3k 收藏 2
点赞数 1
文章标签: xss 前端 javascript
于 2022-08-02 02:38:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Miracle_ze/article/details/126108692
版权
本文深入探讨了在使用DOMPurify进行XSS防御时遇到的一个循环问题和两个循环问题,分析了问题的原因,并提出了相应的解决策略,包括在循环中删除无用数据和避免进入循环,以防止恶意代码执行。
摘要由CSDN通过智能技术生成

目录

一个循环循环题目:要实现弹窗

一、代码

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
 
</body>
<script>

    // http://127.0.0.1/domfilter/demo6.html#<img src=1 οnerrοr=alert(1)>
    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;

    // 这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
     
        for (let attr of el.attributes) {
     
            el.removeAttribute(attr.name);
        }
    }
    document.body.appendChild(root); 
</script>
</html>

二、代码分析

截取#后面的值

  const data = decodeURIComponent(location.hash.substr(1));

创建一个div

   const root = document.createElement('div');

将data数据用innerHTML赋值给root【innerHTML不执行script】

 root.innerHTML = data;

这root同div,而querySelecto

最低0.47元/天 解锁文章
Miracle_ze
关注
DOMPurify 使用方法,如何安全地操作DOM |.sanitize()|.innerHTML|TypeScript TS
cybozu的博客
09-11 1726
你可以用充满脏HTML的字符串来输入DOMPurify,它将返回一个带有干净HTML的字符串(除非另有配置)。您的浏览器越快,DOMPurify 的速度就越快。DOMPurify是用JavaScript编写的,适用于所有现代浏览器(Safari(10+),Opera(15+),Edge,Firefox和Chrome - 以及几乎所有使用Blink,Gecko或WebKit的其他浏览器)。DOMPurify一个仅限DOM的,超快速的,超级宽容的XSS清理器,用于HTML,MathML和SVG。
玩转DVWA 之XSS DOM
key01362000的博客
09-29 1075
DVWA中XSS DOM攻击
javascript 中清理字符串
迹忆客
07-03 382
DOMPurify 是用 JavaScript 构建的,兼容所有现代浏览器(Safari (10+)、Opera (15+)、Internet Explorer (10+)、Edge、Firefox、Chrome 等,它们使用 Blink 或 WebKit)。您可以向 DOMPurify 提供一个包含肮脏 HTML 的字符串,它会返回一个包含干净 HTML 的字符串(除非另有设置)。它采用浏览器的技术并将它们转换为 XSS 过滤器,因此如果您的浏览器更快,DOMPurify 就会更快。
react 项目中预防xss攻击的插件 dompurify
最新发布
weixin_42289080的博客
07-05 466
【代码】react 项目中预防xss攻击的插件 dompurify
DOMPurifyDOMPurify-用于HTML,MathML和SVG的纯DOM,超快速,超级耐XSS消毒剂。 DOMPurify具有安全默认值,但提供了许多可配置性和挂钩。 演示:
02-03
净化 DOMPurify是用于HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂。 使用和入门也非常简单。 DOMPurify于,同时达到了2.2.6版本。 DOMPurifyJavaScript编写,可在所有现代浏览器(Safari(10 +),Opera(15 +),Internet Explorer(10 +),Edge,Firefox和Chrome-以及使用Blink或WebKit的几乎所有其他浏览器)中使用。 在MSIE6或其他旧版浏览器上,它没有中断。 它要么使用要么什么都不做。 我们的自动化测试目前涵盖,以后还会更多。 我们还将介绍在jsdom上运行D
xss框架(二)基础框架实现
amm28824的博客
01-20 953
简述 自上一篇博客介绍浏览器通信以来已经过去将近两个月了,兜兜转转挖了不少坑,也走了很多弯路。期间研究saml2.0和单点登录等技术都最后无疾而终。 只有xss框架这部分坚持了下来,这个框架还有很多事情需要完善,不过总算是有了一点小成果,很开心~~~ 代码放到了这里对照着看效果更好 https://github.com/littleworldwar/pybeef 0x00web服务器设计
es6 使用 cure53/DOMPurify 来防止xss 攻击
qq_44891434的博客
12-17 1451
es6 使用 cure53/DOMPurify 来防止xss 攻击 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1....
cure53/DOMPurify 对用户输入的进行过滤
cominglately的博客
04-18 1198
文章目录场景cure53/DOMPurify推荐理由 场景 用户输入在后台是使用之前是要过滤的 cure53/DOMPurify github 地址 cdn地址 推荐理由 上手容易,操作非常简单 var clean = DOMPurify.sanitize(dirty, {SAFE_FOR_JQUERY: true}); 快 The faster your browser, th...
防止xss和sql注入:JS特殊字符过滤正则
10-27
这个函数使用了正则表达式`/%--`...`~/g`来匹配一系列的特殊字符,包括但不限于百分号 `%`,双减号 `--`,波浪线 `~`,以及各种特殊符号等。这些字符在JavaScript中可能被解释为特殊含义,如注释、字符串拼接等,...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
前端项目-dompurify.zip
09-03
前端项目-dompurify,dompurify是一种仅用于HTML、MathML和SVG的DOM、超快速、超容忍的XSS消毒剂。它是用javascript编写的,适用于所有现代浏览器(safari、opera(15 )、internet explorer(10 )、firefox和chrome,以及几乎所有其他使用blink或webkit的浏览器)。DomPurify是由安全人员编写的,他们在Web攻击和XSS方面有着丰富的背景。不要害怕。
xss-cleaner-filter-laravel:这个包添加了一个额外的过滤器来防止 xss 攻击
06-22
这个包添加了一个额外的过滤器来防止 xss 攻击。 安装 需要composer.json的包: " ali-sharifi/xss-cleaner-filter " : " dev-master " 然后在您的项目根目录中运行: composer update 然后,在config/app.php...
DOMPurify一个只针对 DOM 的、超快的、宽容的 HTML XSS清理工具
前端全栈开发者
01-21 2235
一个只针对 DOM 的、超快的、超容忍的 HTML、MathML 和 SVG 跨站脚本清理器。DOMPurify 于 2014 年 2 月发布,目前已经达到 v3.0.8 版本。DOMPurify 是用 JavaScript 编写的,在所有现代浏览器(Safari(10 ),Opera(15 ),Edge,Firefox 和 Chrome - 以及几乎所有使用 Blink,Gecko 或 WebKit 的浏览器)上都可以运行,它不会在 MSIE 或其他旧版浏览器上崩溃。
js 前端处理xss攻击,对危险的字符串进行过滤
PrimaryColor
04-01 6215
es6: npm install xss --save 这里测试使用的是es5,下载链接: https://download.csdn.net/download/qq_42740797/16291859 https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js(过滤的比较严重,将html的所有属性都给过滤了) 调用函数: function filterXSS(string) html: <!.
“治疗“xss攻击的“特效药“:DOMPurify,让HTML更安全
qq_41444226的博客
05-17 1215
跨站脚本(XSS)攻击是一种常见的网站安全威胁,它通过将恶意脚本注入到网站中以窃取用户数据或利用用户的身份执行未经授权的操作。DOMPurify一个能够帮助前端开发者避免 XSS 攻击的 Javascript 库。DOMPurify一个用于清洗和消毒HTML、MathML和SVG的小型和快速的库。它的目的是防止跨站脚本攻击(XSS),并确保提供的HTML是安全的,可以在网页中插入使用。
使用vue-dompurify-html防御xss攻击
qq_28722667的博客
04-11 5797
之前的防御xss攻击的前端方案太low,影响到了现网用户的体验,但是富文本渲染势不可挡,v-html确实又会被xss攻击,这时vue-dompurify-html就来了!!
11-vue-dompurify-html的使用及使用过程中的问题解决
weixin_46675693的博客
06-28 1498
使用了这个插件后,在测试时确实没有弹出来了,在我以为是成功的情况下,本想着做一下整理,但是更深入查找资料发现,虽然这个插件可以过滤xss攻击,但是不会影响其它元素渲染,但是使用后其它元素却没有渲染成功,就很奇怪。后来,我在node_modules中找这个插件的相关信息,结果被我发现在README.md中发现了一句话,意思是当前的版本是适合vue3用,vue2的话需要用4.1.x的版本。下载的版本是v4.1.4,刷新,结果没反应,重新启动,成功啦,没有弹窗,且其它元素也能成功渲染出来,果然是版本的问题
DOMPurify XSS绕过探索:Ok, Boomer
一个简单的XSS示例`A(1)>B`为例,DOMPurify会移除所有不在白名单中的元素和属性,如`onerror`事件处理程序,以防止执行恶意代码。 接下来,文章提到了一种可能的绕过DOMPurify的方法——通过名称空间混淆突变XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值