防XSS攻击

最新推荐文章于 2024-01-21 15:41:19 发布
最新推荐文章于 2024-01-21 15:41:19 发布
阅读量175 收藏
点赞数
文章标签: xss 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cvvvvvvvvvv/article/details/121841782
版权

XSS攻击 跨站脚本 DOMPurify JavaScript 安全防护
关键词由CSDN通过智能技术生成

XSS攻击

人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]

XSS示例

import hljs from 'highlight.js'
import 'highlight.js/styles/vs2015.css'
import { useEffect } from 'react'
export default function Question () {
  useEffect(() => {
    // 配置 highlight.js
    hljs.configure({
      // 忽略未经转义的 HTML 字符
      ignoreUnescapedHTML: true
    })
    // 获取到内容中所有的code标签
    const codes = document.querySelectorAll('.dg-html pre code')
    codes.forEach((el) => {
      // 让code进行高亮
      hljs.highlightElement(el as HTMLElement)
    })
  }, [])
  const content = `<pre>
  <code>console.log(abc)</code>
  <code>console.log(abc)</code>
</pre>
<h3>nihoa</h3>
<pre>
  <code>console.log(abc);xxx.forEach(item=>{console.log(1)})</code>
</pre>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: content }} />
    </div>
  )
}

操作步骤

装包
npm i dompurify @types/dompurify -D
在页面中调用 dompurify 来对文章正文内容做净化:
import DOMPurify from 'dompurify'

<div
  className="content-html dg-html"
  dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(info.content || '') }}
  >
</div>
小脚裤了都
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS 攻击的实现
weixin_58207509的博客
12-10 620
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后
xss攻击,过滤标签.js
04-01
xss攻击,过滤标签.js
Javaxss攻击jar包
03-29
Javaxss攻击依赖jar包
浅谈 React 中的 XSS 攻击
前端劝退师
09-29 3014
前言前端一般会面临 XSS 这样的安全风险,但随着 React 等现代前端框架的流行,使我们在平时开发时不用太关注安全问题。以 React 为例,React 从设计层面上就具备了很好的...
react之dangerouslySetInnerHTML
dtbk123的博客
04-11 733
在react中为了不让别人注入恶意的代码,它都不会自动识别带有标签的字符串,例如这样 export default class Test extends Component{ constructor(props){ super(props) this.state={html:'<div>213</div>'} } ...
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
java 预XSS攻击
08-23
XSS攻击通常发生在Web应用程序未能充分验证或过滤用户输入的情况下,使得恶意代码能够被嵌入到网页中,进而影响用户的安全。本文将深入探讨如何在Java后端进行预XSS攻击的策略。 1. **理解XSS类型**: - **存储...
DOMPurify 使用方法,如何安全地操作DOM |.sanitize()|.innerHTML|TypeScript TS
cybozu的博客
09-11 1489
你可以用充满脏HTML的字符串来输入DOMPurify,它将返回一个带有干净HTML的字符串(除非另有配置)。您的浏览器越快,DOMPurify 的速度就越快。DOMPurify是用JavaScript编写的,适用于所有现代浏览器(Safari(10+),Opera(15+),Edge,Firefox和Chrome - 以及几乎所有使用Blink,Gecko或WebKit的其他浏览器)。DOMPurify是一个仅限DOM的,超快速的,超级宽容的XSS清理器,用于HTML,MathML和SVG。
DOMPurify:一个只针对 DOM 的、超快的、宽容的 HTML XSS清理工具
最新发布
前端全栈开发者
01-21 1800
是一个只针对 DOM 的、超快的、超容忍的 HTML、MathML 和 SVG 跨站脚本清理器。DOMPurify 于 2014 年 2 月发布,目前已经达到 v3.0.8 版本。DOMPurify 是用 JavaScript 编写的,在所有现代浏览器(Safari(10 ),Opera(15 ),Edge,Firefox 和 Chrome - 以及几乎所有使用 Blink,Gecko 或 WebKit 的浏览器)上都可以运行,它不会在 MSIE 或其他旧版浏览器上崩溃。
DOMPurify:DOMPurify-用于HTML,MathML和SVG的纯DOM,超快速,超级耐XSS消毒剂。 DOMPurify具有安全默认值,但提供了许多可配置性和挂钩。 演示:
02-03
净化 DOMPurify是用于HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂。 使用和入门也非常简单。 DOMPurify于,同时达到了2.2.6版本。 DOMPurify用JavaScript编写,可在所有现代浏览器(Safari(10 +),Opera(15 +),Internet Explorer(10 +),Edge,Firefox和Chrome-以及使用Blink或WebKit的几乎所有其他浏览器)中使用。 在MSIE6或其他旧版浏览器上,它没有中断。 它要么使用要么什么都不做。 我们的自动化测试目前涵盖,以后还会更多。 我们还将介绍在jsdom上运行D
sanitizer-polyfill:重写构造函数参数,调用 DOMPurify,利润
07-24
规范的 Polyfill。 TODO : 这个自述文件需要一个扩展 计划: 可能会在之上使用垫片,主要将指定的配置对象重写为 DOMPurify 配置。 DOMPurify 比其他库更有趣,因为它依赖于当前浏览器的 HTML 解析行为(它构建在接口之上)。
markdown-app:使用标记和dompurify库
04-08
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 yarn test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 yarn build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化内部版本,文件名包含哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 yarn eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从您的项目中删除单个生成依赖项。 相反,它将所有配置文件和传递依赖项(webpack
前端项目-dompurify.zip
09-03
前端项目-dompurify,dompurify是一种仅用于HTML、MathML和SVG的DOM、超快速、超容忍的XSS消毒剂。它是用javascript编写的,适用于所有现代浏览器(safari、opera(15 )、internet explorer(10 )、firefox和chrome,以及几乎所有其他使用blink或webkit的浏览器)。DomPurify是由安全人员编写的,他们在Web攻击和XSS方面有着丰富的背景。不要害怕。
xss攻击分析
03-12 305
跨站脚本攻击(XSS)是指攻击者通过巧妙地注入恶意指令代码到网页中,使用户加载并执行攻击者恶意制造的网页程序。攻击者可以通过利用留下的漏洞,向用户注入恶意代码,从而获取用户的敏感信息或者控制用户的浏览器,对用户进行攻击。XSS攻击是最普遍的Web应用安全漏洞,针对的是用户层面的攻击。XSS攻击分为三种类型:反射型XSS:攻击者通过制造一个恶意链接,诱骗用户点击,使得恶意代码被执行。例如,攻击者构造了一个恶意链接,用户点击链接后,网站将获取到恶意代码,并执行它,从而弹出一个对话框。
html中alert的用法_【渗透实战】通过HTML命名空间混淆绕过DOMPurify实现XSS
weixin_39716044的博客
11-29 744
点击上方蓝字关注我们1概述本篇文章主要介绍了如何绕过主流的HTML杀毒程序库DOMPurify。DOMPurify是一款使用JavaScript编写的的HTML过滤库,可以处理来自用户的不受信任的HTML片段,删除可能导致跨站脚本攻击(XSS)的所有元素及属性。具体的绕过方法如下所示:<form><math><mtext>form><for...
xss的DOMPurify过滤框架:一个循环问题以及两个循环问题
Miracle_ze的博客
08-02 1287
过滤
Sanitizer:给你的DOM消消毒
Yvette Lau的专栏
10-14 236
业务中经常遇到需要处理「有风险的DOM」的场景,比如:各种工具的文本粘贴功能需要渲染服务端返回HTML的场景为了阻止潜在的XSS攻击,有两个选择:escape(转义)sanitize(消毒...
uniapp预 XSS 攻击
04-28
Uniapp预XSS攻击的方法有以下几种: 1. 对用户输入数据进行过滤和转义,比如使用encodeURIComponent()函数对URL参数进行编码,使用innerHTML()函数对HTML标签进行过滤。 2. 对于需要用户输入HTML代码的场景,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值