前端安全之初识XSS

最新推荐文章于 2024-07-04 16:37:43 发布
最新推荐文章于 2024-07-04 16:37:43 发布
阅读量491 收藏
点赞数
分类专栏: 前端安全 文章标签: 前端 前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brand2014/article/details/95017338
版权

前端安全
文章首发于我的博客:查看原文
文章是学习了慕课网老师视频整理,视频地址:Web安全-XSS

文末有惊喜哦

一、什么是XSS?

XSS(Cross-site scripting),跨站脚本,一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。这类攻击通常包含了HTML以及用户端脚本语言。

二、XSS的攻击方式

攻击有什么用??=> 1、盗用cookie等,获取敏感信息;2、 破坏页面结构;3、其他~

2.1 反射型

发出请求时,XSS代码出现在URL中,作为输入提交到服务器,服务器端解析后响应,XSS代码随响应内容一起返回给浏览器,最后浏览器解析响应XSS代码。这个过程像一次反射,所以称为反射型XSS。

这里要注意的有几个点:

  1. XSS代码出现在URL中;
  2. 服务端解析响应
  3. 浏览器解析代码

这里的XSS代码通常是CSS,javascript或者HTML片段。

2.2 存储型

存储型XSS和反射型XSS的差别在于提交的代码会存储在服务端(数据库、内存、文件系统等),下次请求目标页面时,无需再次提交XSS代码。

比如,当你访问一个人的博客时(不要搞我!),你去他的文章下面添加一些评论,这些评论一般都会存下来,如果他的博客没有作什么处理,那么,一个简单的XSS攻击就算生效了:

2.2.1 插入html片段:

<img src="null" onerror="alert(“你被攻击了哦!”)" >

当你在评论中插入了一个 img 标签,由于图片路径找不到,所以就会执行onerror方法,这样,onerror中的js脚本就被触发了,每次当用户访问到这篇文章,加载到这条评论时,都会触发这个弹窗。这样,一次简单的XSS就算生效了?。

<button onclick="alert('你被攻击了哦!')">点我呀</button>

向页面中插入一个按钮,诱导用户进行操作,进而被攻击了~

<iframe> <iframe>

向页面中插入一个iframe(或者frame),来插入一些小广告?~?。

2.2.2 插入CSS

<style>
    html,body{
        display:none!important;
    }
</style>

<link href= "">

如果向你的页面中插入上面的代码,当别人访问你的页面时,将会什么也看不到?.

2.2.3 插入js代码

<script>
window.onload = function (){
    alert('你被攻击了哦!')
}
</script>

如果向你的页面中插入上面的代码,同样也被攻击了~?。

由此得出一点,慎用innerHTML

三、XSS的防范措施

3.1 编码

对用户输入的内容进行HTML Entity编码(字符转义),不能进行原样输出。

在编写HTML页面时,需要用到"<"、">"、“空格”、"&"、"引号"直接输入这些符号时,会错误的把它们与标记混在一起,非常不利于编码。所以 需要对这些字符进行转义。

CharacterEntity
&&amp;
<&lt;
>&gt;
"&quot;
空格&nbsp;

3.2 过滤

过滤掉用户输入的一些不安全的内容

3.2.1 移除用户上传的DOM属性,入onclick,onerror等

3.2.2 移除用户上传的style节点,script节点,iframe节点等。

3.3 校正

3.3.1 避免直接对HTML Entity进行解码

3.3.2 使用DOM Parse转换,校正不配对的DOM标签

DOMParser: 可以将存储在字符串中的 XML 或 HTML 源代码解析为一个 DOM Document。

我的博客使用了第三方库htmlparser2进行过滤和校正

segmentfault上,这篇文章似乎被人成功攻击了,哈哈:
《用大白话谈谈XSS与CSRF》
打开这个链接,拖到文章最下面,,点击【显示更多评论】,有惊喜。。

道路千万条,安全第一条?,作为前端开发的你对前端开发有一点认识了吗?

感谢你的阅读,欢迎留言探讨~

重庆崽儿Brand
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 3319
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
InnerHTML属性的XSS利用
士心的博客
07-26 1754
0x0前言 之前一直对于反射型和DOM型XSS的区别分不清楚,没有好好深入理解,短浅的将DOM型XSS归为反射型的一种。最近因为要写一下靶场,所以特别深入了一下,发现他们最大的区别就是反射型是经过后端的,它经过后端处理后返回至前端,而DOM型则是通过JS直接操作DOM树来完成的,它不经过后端。正是因为不经过后端,而大部分的过滤操作都是在后端进行,前端往往被忽略,所以在大型厂商它存在的概率甚至比反射型还大。 例如某知名安全平台就出现过一个DOM型xss漏洞: “灯下黑”挖出国内知名安全平台某BUF的xss漏洞
防止基于 DOM 的 XSS
Artisan_w
03-05 1万+
防止基于 DOM 的 XSS 规则1 原则:HTML 转义,然后 JavaScript 转义,然后再将不受信任的数据插入到执行上下文中的 HTML 子上下文中 有多种方法和属性可用于在 JavaScript 中直接呈现 HTML 内容。这些方法构成了执行上下文中的 HTML 子上下文。如果这些方法提供了不受信任的输入,则可能会导致 XSS 漏洞 属性 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<
innerHTML与XSS攻击
hhhh
04-30 3982
HTML5为所有元素提供了一个innerHTML属性,既能获取对象的内容又能向对象插入内容 属性值:HTML标签/文本 浏览器会将属性值解析为相应的DOM树 HTML解析器在浏览器中是底层代码比JavaScript方法快很多,同时意味着替换元素上的关联事件处理程序和JavaScript对象需要手动删除。 插入script和style元素的时候需要看具体的浏览器 XSS攻击 outerHTML ==innerHTML定义的DOM树+自身元素 innerText与outerHTML: innerText:后代
关于DOM型XSS漏洞的学习笔记
热门推荐
Mi1k7ea
03-05 4万+
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个
前端安全(一)XSS攻击
OriginalMIxss的博客
10-24 1035
1 简述 XSS,跨站脚本攻击(Cross Site Scripting),为避免和CSS缩写同名,缩写为XSS XSS通常是指攻击者利用网页开发的漏洞,植入恶意的代码指令到网页中并使用户加载并执行,恶意的脚本指令大多为JS,但也可以是Java、VBScript、HTML等。恶意的脚本执行后,攻击者可以获得私密的网页内容、会话和cookie等各种内容,以及获得更高的页面操作权限 XSS本质就是恶意的脚本代码和正常的代码混杂在一起,浏览器无法分辨,导致恶意脚本执行 2 XSS分类 2.1 存储型XSS攻击
前端安全XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的...
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端开源库-xss-filters
08-29
前端开发中,XSS(Cross-site scripting)攻击是一种常见的安全威胁,它允许攻击者通过注入恶意脚本到网页上,从而控制用户浏览器的行为。"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是...
关于DOM型XSS的深入解析(收藏)
告白的博客
01-11 1万+
很多次接触xss的小白,尽管知道xss的三种分类,但是在DOM型xss还是存在理解上的不足,这篇文章希望能帮助到更好的理解DOM型xss
Vuex 核心揭秘:打造高效前端状态库
a3098448071的博客
07-03 1101
状态(State)类似于 Vue 组件的data属性,用于存储组件的响应式数据。在 Vuex 中,state用于存储整个应用的全局状态。Getters类似于 Vue 组件的computed计算属性,它们用于从其他数据派生出新的数据。在 Vuex 中,getters用于从state中派生出一些状态,这些状态可以根据state的变化而缓存或重新计算。Mutations类似于 Vue 组件的methods中的方法,用于改变组件的data。在 Vuex 中,mutations用于改变state。
WHAT - NextJS 的路由系统和 react-router-dom
最新发布
weixin_58540586的博客
07-04 897
不,Next.js 的路由系统并不基于。Next.js 本身内置了自己的路由系统,并且在其生命周期和工作方式上与有所不同。
【vueUse库Component模块各函数简介及使用方法--上篇】
xiejunlan的博客
07-02 1397
vueUseComponent函数理解 `computedInject` 的概念模拟 `computedInject`使用场景总结构想`createReusableTemplate`的用途可能的实现方式方法一:使用高阶组件(HOC)方法二:使用插槽(Slots)和默认插槽内容结论构想`createTemplatePromise`的用途可能的实现方式使用Vue 3的异步组件构想中的`createTemplatePromise`结论使用Vue的`ref`属性在模板中引用元素或组件示例:引用模板中的DOM元素。
Vue前端打包
weixin_63680330的博客
07-04 288
介绍:Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。其特点是占有内存少,并发能力强,在各大型互联网公司都有非常广泛的使用。启动:双击nginx.exe 文件启动,服务器默认占用80端口。官网:https://nginx.org/打包好的dist目录赋值到html下。html静态资源文件目录。conf 配置文件目录。logs日志文件目录。temp临时文件目录。
JWT(JSON Web Token)
Casual_Lei的博客
07-03 1294
JWT 提供了一种简洁而强大的方式来进行身份验证和授权,特别适用于分布式系统和微服务架构。Spring Security 通过其强大的扩展机制,使得与 JWT 的集成变得非常简单和高效。通过了解和应用这些技术,开发者可以构建出安全、可靠的现代 Web 应用。
react自定义hooks---useCounter
weixin_73098736的博客
07-02 289
【代码】react自定义hooks---useCounter。
ESP32-Web-Server编程- 使用 mDNS 建立域名系统
wangyx1234的博客
07-02 251
1)本节首先介绍了 DNS 域名服务系统,然后引出了 mDNS(multicast DNS,组播 DNS)系统的基本原理。 2)在 ESP32 Web Server 系统中部署 mDNS 服务,并演示了通过建立的域名访问 Web 服务器的方法。
Vue2前端实现数据可视化大屏全局自适应 Vue实现所有页面自适应 Vue实现自适应所有屏幕
weixin_41346436的博客
07-04 102
在Vue.js中创建一个数据大屏,并使其能够自适应不同屏幕大小,通常涉及到布局的响应式设计、CSS媒体查询、以及利用Vue的事件系统来处理窗口大小变化。通过以上步骤,我们创建了一个使用Vuetify布局的响应式数据大屏,它能够根据屏幕宽度动态调整其内容的布局。Vuetify的v-flex组件允许我们轻松地创建响应式的网格布局,而Vuex和全局事件总线则帮助我们在窗口大小变化时更新应用状态和组件布局。在实际项目中,你可能还需要处理更复杂的响应式设计挑战,例如在不同的屏幕尺寸下显示不同的内容或布局。
前端安全】JavaScript防XSS攻击
05-23
XSS(Cross-site scripting)攻击是指攻击者利用Web应用程序没有对用户提交的数据进行足够的验证和过滤,从而在Web页面中注入恶意脚本,当用户访问这些页面时,这些恶意脚本就会被执行,从而达到攻击者的目的。 为了防止XSS攻击,我们可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,过滤掉不符合规范的输入,比如特殊字符、敏感词等。 2. 对用户输入的内容进行转义,将特殊字符转化为它们的HTML实体,比如将`<`转义为`<`,将`>`转义为`>`等。 3. 不要使用`eval()`函数或`innerHTML`属性等动态执行JavaScript代码的方法,因为这些方法会将字符串作为JavaScript代码执行,如果字符串中含有恶意代码,就会被执行。 4. 使用HTTP-only Cookie,可以防止cookie被JavaScript读取,从而防止cookie被盗用。 5. 在HTTP响应头中设置`X-XSS-Protection`,这可以告诉浏览器启用内置XSS过滤器,从而防止XSS攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值