vue ---根据白名单过滤HTML(防止XSS攻击)

最新推荐文章于 2024-08-05 14:25:27 发布
最新推荐文章于 2024-08-05 14:25:27 发布
阅读量2.9k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a378113472/article/details/104786182
版权

xxs 攻击就是通过脚本 更改js代码 获取cookie内容
以nodejs做测试

1.在终端引入xss,命令:

npm install xss --save

2.在vue的页面进行引入

import xss from 'xss'

3.定义一个变量进行测试

首先测试一个没有进行防止xss攻击的测试

<p v-html="test"></p>
 
export default {
  data () {
    return {
      test: `<a onclick='alert("xss攻击")'>链接</a>`
    }
}

结果,js事件直接被翻译了
在这里插入图片描述
因此应该杜绝这些情况,解决方法如下

4

<p v-html="$xss(test)"></p>
 
import xss from 'xss'
export default {
  data () {
    return {
      test: `<a onclick='alert("xss攻击")'>链接</a>`
    }
}
 
Object.defineProperty(Vue.prototype, '$xss', {
  value: xss
})
此时a标签会保留,但是onclick事件被拦截了
接着奏乐接着舞
关注
vue 如何防止xss攻击 框架_xss攻击防御
weixin_42397220的博客
12-31 1903
一、XSS攻击Cross Site Scripting跨站脚本攻击利用js和DOM攻击。盗用cookie,获取敏感信息破坏正常页面结构,插入恶意内容(广告..)劫持前端逻辑DDos攻击效果——分布式拒绝服务攻击Server Limit Dos,Http header过长,server返回400二、攻击原理和手段攻击方式反射性存储性1、反射型攻击发出请求时,XSS代码出现在URL中,作为输入提交到服...
如何绕过大写过滤器实现XSS攻击
NOSEC2019的博客
10-15 1185
虽然我们不是在安全公司工作,但喜欢参加Hackerone上的漏洞悬赏项目,喜欢寻找漏洞。 而最近发现的漏洞让我感觉javascript代码中的注入漏洞的确会让人防不胜防。 我们在目标网站上找到了一个和XSS有关的漏洞,其中网页涉及到某种谷歌分析代码,可通过URL进行XSS攻击。 http://website.com/dir/subdir 以上URL的后半部分会直接出现在javascript代...
防止XSS攻击的方法-使用白名单过滤html标签
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
03-14 6458
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容 解决方法一:jsoup工具类 org.jsoup j
若依vue前端白名单处理
最新发布
CodeTom的博客
08-05 534
不过需要注意的是因为没有登录,所以左侧的导航栏是没权下查数据库的,所以可以在index.js中去掉 component: Layout,这样就直接展示界面而不展示导航栏了。不过还需要注意的是填写的url不能是数据库的动态路由,所以我们要找到路由的js文件手动添加路由(该路由也不能跟动态路由重复)在这个whiteList 添加界面的url就可以直接访问并且不需要登录(也就是白名单)也就是在router文件夹内的index.js文件,在公共路由内加入你的url。找到permission.js文件。
vue 如何防止xss攻击 框架_HTTPS如何防止重放攻击?
weixin_29635919的博客
12-21 509
关注后你就是我的人了HTTPS是否实现了Diffie–Hellman秘钥交互算法来防重放攻击?看了很多回答HTTPS原理的文章,都说HTTPS主要是通过RSA+AES来加密数据的,而这个AES秘钥是浏览器端随机生成的,是否是真的这样,如果是如何防止重复攻击?还是通过Diffie–Hellman来交换秘钥的?这个问题描述让人无法看懂,让我来帮助提问者理理思路。TLS握手协商阶段浏览器发送Client...
dos设置yymmdd时间格式_硬核丨区块链浏览器可以逃离DoS的九阴白骨爪吗?
weixin_32549035的博客
12-01 201
说到浏览器,大家脑海里蹦出来的一定是“百度一下,你就知道”、“上网从搜狗开始”......这些家喻户晓甚至大爷都说的上来的浏览器,是互联网的代言人,更是互联网的入口。但是如果说有谁和互联网是勾肩搭背的关系,那就是现今如日中天的区块链技术了。互联网改变生活,区块链技术改变互联网。那么毫无疑问,作为互联网的入口,浏览器必然也与区块链技术脱不开关系。由此诞生的区块链浏览器,作为大家耳熟能详的落...
VUE防止XSS
热门推荐
天书笔记
08-13 1万+
vue-xss,一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击,底层依赖xss实现 [vue xss, vue-xss, xss]
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块...主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
XSS系列二:基于vue搭建的网站如何防范XSS攻击
川端小树的博客
10-02 5760
1.对于从接口请求的数据,尽量使用{{}}加载,而不是v-html vue中的大括号会把数据解释为普通文本。通常如果要解释成html代码则要用v-html。而此指令相当于innerHTML。虽然像innerHTML一样不会直接输出script标签,但也可以输出img,iframe等标签。 vue文档关于v-html的说明如下所示: 2.对用v-html和innerHTML加载的客户信息进行转义 如果显示内容里面有html片段,一定需要用v-html或者innerHTML加载,例...
uniapp白名单-测试代码
04-07
- 除了白名单,uniapp还提供了其他安全措施,如使用HTTPS进行加密通信,防止XSS和CSRF攻击,以及对用户输入进行验证和过滤。 - 在测试阶段,开发者应全面检查所有可能的网络请求,确保所有对外接口都经过白名单...
vue语法写html,Vue -- 模板语法
weixin_30658827的博客
06-28 1945
Vue 模板语法1.vue 和大多数后台语言,甚至是和art-template 这种前端模板库一样,都有一套,特定的语法来把数据渲染在html上。Mustache -- 大胡子语法1.大胡子的语法格式双大括号'{{}}',用在html标签之间,不能写在标签属性中2.大胡子语法中可以使用js表达式,但只限于Vue实例作用域的和Vue沙盒白名单白名单规定的一些全局变量例如Math和FDate。3.表...
springboot 中防止 XSS 攻击
Fightevery的博客
07-05 1466
1. 什么是XSS攻击XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不处理的话,这些前端代码将会在展示的时候被浏览器执行。 2. 如何防范? 有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。 2.1 什么时候注入请求参数 常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form
Vue filters, filter 过滤
肖皓文
08-08 424
过滤器 作用:文本数据格式化 两种过滤器:1 全局过滤器 2 局部过滤器 全局过滤器filter 说明:通过全局方式创建的过滤器,在任何一个vue实例中都可以使用 实例:时间戳对象转换 //组件中调用 过滤器dateFormatYMD <div>{{ date| dateFormatYMD }}</div> <script> //mi...
前端角度防范XSS攻击的策略与实践
qq_53742640的博客
04-12 1298
防范XSS攻击是一个复杂的过程,需要开发者在前端开发中始终保持警惕。通过输入验证、输出编码、合理设置HTTP头部以及利用现代前端框架和库提供的安全特性,可以大大降低XSS攻击的风险。然而,安全是一个不断发展的领域,开发者应该持续关注最新的安全研究和最佳实践,以保护用户和数据安全。
Vue中v-html引起xss攻击防止script注入)
meimeib的博客
07-16 3034
v-html引起xss攻击场景 <div v-html="html"></html> data(){ return { html:'alert('1')' } } 解决办法 1. 下载 xss 依赖 npm install xss --save 2. main.js中引入xss包并挂载到vue原型上 import xss from "xss"; Vue.prototype.xss = xss; 3. 在vue.config.js中覆写html指令 chainWebpac
[绍棠] Vue解决V-HTML指令潜在的XSS攻击(‘v-html‘ directive can lead to XSS attack.)
绍棠的博客
01-14 1759
什么是 XSS 攻击? XSS是跨站脚本攻击(Cross-Site Scripting)的简称。 XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中。 当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。 发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型
vue xss 存在_给XSS加点S
weixin_36090220的博客
01-04 1069
TOC:约定本文中出现由花括号包裹的内容为服务端进行 html 字符串拼接的动态内容:{ userData },在其他文章中经常表现为 <%= userData >。本文中所使用的关键词:“用户数据”,与“非受信数据”同义。XSS 简介XSS 是一种代码注入攻击,在受害者浏览器上注入恶意代码并执行,本质是前后端渲染不受信任的用户数据导致的安全问题。不受信任的用户数据指的是由用户提供的数...
常见的前端安全CSRF/XSS以及常规安全策略
小草莓的博客
07-14 1874
5、前端的常规安全策略 ① 定期请第三方机构安全性测试和漏洞扫描 ② code review 保证代码质量 ③ 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等 ④ 尽量不用v-html、在有输入框的地方要对输入拦截和校验等
vue 如何防止xss攻击 框架_前端防范xss攻击的实用方案
weixin_39848970的博客
12-22 5403
一、xss攻击原理大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢?xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框:xss攻击图1在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况:xss攻击图2为什么会酱紫呢?因为我们在说明这一栏的input,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值