前端应对xss进攻的一些方法

最新推荐文章于 2024-08-07 09:15:00 发布
最新推荐文章于 2024-08-07 09:15:00 发布
阅读量2.6k 收藏 8
点赞数
分类专栏: 安全 转载

一提到前端安全性,必然要考虑到XSS攻击,那我们先来看下什么到底XSS攻击。

xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。(解释摘自百度百科)

下面我们将从三个方面介绍一些应对方法:

一、用浏览器内部转换器实现转换

1.1.用浏览器内部转换器实现html转码

首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持),最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了。

1.2.用浏览器内部转换器实现html解码

首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持),最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。

1.3.具体实现代码

var HtmlUtil = {
    /*1.用浏览器内部转换器实现html转码*/
    htmlEncode:function (html){
        //1.首先动态创建一个容器标签元素,如DIV
        var temp = document.createElement ("div");
        //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
        (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
        //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
        var output = temp.innerHTML;
        temp = null;
        return output;
    },
    /*2.用浏览器内部转换器实现html解码*/
    htmlDecode:function (text){
        //1.首先动态创建一个容器标签元素,如DIV
        var temp = document.createElement("div");
        //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
        temp.innerHTML = text;
        //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
        var output = temp.innerText || temp.textContent;
        temp = null;
        return output;
    }
};

测试:

1 var html = "<br>aaaaaa<p>bbbb</p>";
2 var encodeHtml = HtmlUtil.htmlEncode(html);
3 alert("encodeHtml:" + encodeHtml);
4 var decodeHtml = HtmlUtil.htmlDecode(encodeHtml);
5 alert("decodeHtml:" + decodeHtml);

图片1
图片2

二、用正则表达式进行转换处理
使用正则表达式也是一种常用的处理方式,实现原理就是使用替换的方式来实现转码和解码,转码时把<>,空格符,&,’,”“替换成html编码,解码就把html编码替换成对应的字符,实现代码如下:

var HtmlUtil = {
    /*1.用正则表达式实现html转码*/
    htmlEncodeByRegExp:function (str){  
         var s = "";
         if(str.length == 0) return "";
         s = str.replace(/&/g,"&amp;");
         s = s.replace(/</g,"&lt;");
         s = s.replace(/>/g,"&gt;");
         s = s.replace(/ /g,"&nbsp;");
         s = s.replace(/\'/g,"&#39;");
         s = s.replace(/\"/g,"&quot;");
         return s;  
   },
   /*2.用正则表达式实现html解码*/
   htmlDecodeByRegExp:function (str){  
         var s = "";
         if(str.length == 0) return "";
         s = str.replace(/&amp;/g,"&");
         s = s.replace(/&lt;/g,"<");
         s = s.replace(/&gt;/g,">");
         s = s.replace(/&nbsp;/g," ");
         s = s.replace(/&#39;/g,"\'");
         s = s.replace(/&quot;/g,"\"");
         return s;  
   }
};

测试代码:

1 var html = "<br>ccccc<p>aaaaa</p>";
2 var encodeHTML = HtmlUtil.htmlEncodeByRegExp(html);
3 alert("用正则表达式进行html转码,encodeHTML:" + encodeHTML);
4 var decodeHTML = HtmlUtil.htmlDecodeByRegExp("用正则表达式进行html解码:" + encodeHTML);
5 alert(decodeHTML);

测试结果:
图片3
图片4
三、封装HtmlUtil工具类
将两种方式封装HtmlUtil工具类,方便在开发中使用,完整代码如下:

var HtmlUtil = {
    /*1.用浏览器内部转换器实现html转码*/
    htmlEncode:function (html){
        //1.首先动态创建一个容器标签元素,如DIV
        var temp = document.createElement ("div");
        //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
        (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
        //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
        var output = temp.innerHTML;
        temp = null;
        return output;
    },
    /*2.用浏览器内部转换器实现html解码*/
    htmlDecode:function (text){
        //1.首先动态创建一个容器标签元素,如DIV
        var temp = document.createElement("div");
        //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
        temp.innerHTML = text;
        //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
        var output = temp.innerText || temp.textContent;
        temp = null;
        return output;
    },
    /*3.用正则表达式实现html转码*/
    htmlEncodeByRegExp:function (str){  
         var s = "";
         if(str.length == 0) return "";
         s = str.replace(/&/g,"&amp;");
         s = s.replace(/</g,"&lt;");
         s = s.replace(/>/g,"&gt;");
         s = s.replace(/ /g,"&nbsp;");
         s = s.replace(/\'/g,"&#39;");
         s = s.replace(/\"/g,"&quot;");
         return s;  
   },
   /*4.用正则表达式实现html解码*/
   htmlDecodeByRegExp:function (str){  
         var s = "";
         if(str.length == 0) return "";
         s = str.replace(/&amp;/g,"&");
         s = s.replace(/&lt;/g,"<");
         s = s.replace(/&gt;/g,">");
         s = s.replace(/&nbsp;/g," ");
         s = s.replace(/&#39;/g,"\'");
         s = s.replace(/&quot;/g,"\"");
         return s;  
   }
};

转载自:http://www.cnblogs.com/xdp-gacl/p/3722642.html

MrLiber
关注
专栏目录
浅谈如何防御xss攻击
xj28555的博客
07-23 539
笔前闲聊 最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。 认识xss 首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页...
前端处理简单的XSS(跨站脚本攻击)防护
Future1994的博客
10-15 1103
// XSS 对应 function escapeHtml(value) { if (typeof value !== 'string') { return value } return value.replace(/[&<>`"'\/]/g, function(result) { return { '&': '&amp;', '<': '&lt;', '>': '&gt;', .
前端安全之XSS攻击
weixin_34381666的博客
02-18 1179
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
XSS攻击原理和解决方法
最新发布
2302_76672693的博客
08-07 1344
XSS攻击原理和解决方法
前端XSS脚本攻击
usejony的博客
12-08 1044
前端 xss 攻击
前端安全:XSS攻击与防御策略
dzqxwzoe的博客
07-01 1250
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
如何避免XSS攻击
狂欢的博客
08-25 935
前言 XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防: 1、获取用户的输入,不用innerHtml,用innerText. 2、预防 XSS 的核...
前端开源库-xss-filters
08-29
前端开发中,XSS(Cross-site scripting)攻击是一种常见的安全威胁,它允许攻击者通过注入恶意脚本到网页上,从而控制用户浏览器的行为。"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
3. 自定义XSSFilter:如果需要更细粒度的控制,可以创建自定义的XSSFilter类,重写`doFilter`方法,进行特定的XSS清理逻辑。这通常包括对请求参数、响应内容的清洗,去除或转义可能引发XSS的特殊字符。 4. 配置过滤...
前端xss报警平台
10-15
前端XSS报警平台是一款专注于检测和防御Web应用中跨站脚本(Cross-Site Scripting,简称XSS)攻击的工具。XSS攻击是网络安全领域常见的威胁之一,它利用了Web应用对用户输入数据处理不当,允许攻击者在网页上注入...
Web前端安全系列之:XSS攻防
qq_44005305的博客
01-15 1045
Web 攻击技术的发展也可以分为几个阶段。在 Web 1.0 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--XSS(跨站脚本攻击)。伴随着 Web 2.0 的兴起,XSS、CSRF 等攻击已经变得更为强大。
前端XSS攻击问题
zuo_zuo_blog的博客
11-26 455
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 1.窃取...
前端安全——XSS攻击与防御原理详解
qq_44197554的博客
12-13 5658
前端开发人员必备安全防范知识——XSS攻击与防御,希望大家可以认识到xss攻击的危害
前端安全系列(一):如何防止XSS攻击
qkh1234567的博客
05-14 2408
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
前端安全(一)XSS攻击原理及防范
qq_34416331的博客
12-18 2785
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何防范XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
前端防御XSS
swordheart的博客
04-26 1966
0x00 前言 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多,虽说后端也可以完成这些功能,但是代码量会比前端代码多很多很多。其实说了那么多,交给nginx||apache||nodeJs||Python会更好处理。但是我不会C,也就没办法写nginx模块了。而且也不在本文章的范围内,等我什么
从零开始搭建自己的网站二十三:前端XSS攻击解决方法
juewang_love的博客
04-25 539
XSS介绍: XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。 ...
防止前端xss攻击方法
05-31
以下是几种防止前端XSS攻击方法: 1. 输入验证:对于提交到前端的数据,需要进行输入验证,过滤掉一些不合法的字符,例如`<`和`>`等特殊字符。 2. 输出编码:在输出到页面时,需要对数据进行编码,将特殊字符转换为HTML实体或URL编码,从而防止恶意脚本的注入。 3. CSP(Content Security Policy):CSP是一种安全策略,可以帮助防止XSS攻击。通过CSP,可以限制页面资源的来源,例如限制只能从特定的域名加载脚本、样式表等资源。 4. HttpOnly Cookie:使用HttpOnly Cookie可以防止JavaScript访问Cookie,从而避免一些XSS攻击。 5. 过滤非法标签和属性:可以使用一些工具或库,如DOMPurify、xss、sanitize-html等,过滤掉非法标签和属性,从而防止XSS攻击。 6. 使用安全框架:一些安全框架,如Spring Security、Shiro等,都提供了防止XSS攻击的功能,可以直接使用这些框架来保护应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值