JQuery安全分析

最新推荐文章于 2023-12-25 09:57:44 发布
最新推荐文章于 2023-12-25 09:57:44 发布
阅读量1.8k 收藏
点赞数
分类专栏: WEB安全 文章标签: jquery json javascript 服务器 string null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happybirds/article/details/4820283
版权

 

JQuery安全分析:

JQuery的风险均来源于对输入的数据没有进行有效性检验。客户端的Javascript需要检验:来源于服务器的数据、来源于当前页面的用户输入,服务器端需要检验来源于用户端的数据.

JQUERY的下列方法存在XSS的风险,在使用前应该对输入的内容进行编码或检查

.html(val)

$("#MyH").html("as>/" <img src=abc.jpg οnerrοr='alert(0);'>alert('s');");

.append(val)

$("#MyH").append("<strong>Hello</strong><script>alert(3);");

. prepend(val)

prepend("<strong>Hello</strong><script>alert(3);");

. before(val)

//$("#MyH").before("<strong>Hello</strong><script>alert(3);");

 

.replaceWith(val)

//$("#MyH").replaceWith("<strong>Hello</strong><script>alert(3);");

. after(val)

$("#MyH").after("<strong>Hello</strong><script>alert(3);");

 

JQUERYAJAX时如果设定返回结果为JSON则有JSON投毒的风险

原因是:

JQuery处理JSON采用的是以下代码

如果服务器返回的数据为

          string ms = "{/"total/":/"400/",/"results/":{/"Name/":/"[//aa///"{//u003c//u003e}

/",/"Age/":null,/"School/":/"acb;/",/"Address/":null,/"Memo/":/"/"}});alert(23);//";

则会出现JSON中毒

简单的Javascript测试 JSON中毒

var s=eval("({/"name/":/"sss/"});alert(23);({/"name/":/"sss/"})");

alert(s.name);

 

处理办法:使用JSON2.jsJSON解释方法代替JQUERY的该部份内容,或修改JQueryeval部份,增加对JSON String的有效检验

JSON为什么是安全的

JSON采用了一系列的方法去检查eval执行的表达式是否是安全的,是否是只包含有JSON正确格式的数据,所以JSON2.JS来解析JSON串是安全的。

 

 

happybirds
关注
专栏目录
jQuery Mobile漏洞会有跨站脚本攻击风险
12-11
概述 根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。 jQuery Mobile项目(jQuery框架中的一个组件)是一个基于HTML5的开发框架,在它的帮助下,开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上,jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库,而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍,目前全球范围内大约有十五
jQuery技巧:保证你的代码安全
michaelgong的专栏
11-24 527
在多人合作开发中一定要确保变量,对象,函数等命名不要冲突: 方法一:当别人使用了其他的js库,并该库使用了”$”变量,那么我们可以使用noConflict()方法:   1 var j = jQuery.noConflict(); 2 // Now, instead of $, we use j.
jq安全评分检测
u011313703的博客
02-25 484
跑分检验 body{margin:0px;padding:0px;} ul, ol{list-style:none;} clearfix:after{content:'\20';display:block;height:0;clear:both;visibility:hidden;overflow:hidden} .clearfix{zoom:1} .mod-ucen
使用jQuery对Ajax的封装 (主要是更安全,更方便)
伊人回眸泪倾城的博客
06-28 463
使用jQuery对Ajax的封装 (主要是更安全,更方便) jQuery封装简化了Ajax,有.get、.get、.post 等不同的效果的方法。 缺点:(看不到获得失败的消息); 这里推荐使用$.Ajax( )主要是这个可以看到请求失败的消息。 $.ajax({ type: "post", url: "Ajax1.ashx", data: { i1:
jQuery源码分析之Event事件分析
10-29
分析jQuery源码时,事件处理是不可绕过的一个重要领域。由于不同浏览器间事件对象的差异,jQuery需要提供一个统一的事件处理机制以保证代码的兼容性和一致性。本知识点将深入探讨jQuery源码中Event模块的设计和...
jQuery源码分析系列(一)初识jQuery
clyss1234的博客
09-11 702
一个工厂 (function(global, factory){ "use strict" // operation_1 })(typedef window !== "undefined" ? window : this, function (window, noGlobal) { // operation_2 }) =====> (function(args,...){...})(params,...) // 一种自执行方法,形式为(.
身份证分析器插件jQuery-IDCard.js
06-01
**jQuery-IDCard.js身份证分析器插件** 在Web开发中,有时我们需要验证用户输入的身份证号码是否合法,以便提供更安全、准确的服务。这就是`jQuery-IDCard.js`插件的作用。这个插件是专为jQuery设计的一个身份证...
基于jQuery股票数据分析.zip
12-09
《基于jQuery的股票数据分析》 在现代Web开发中,jQuery是一个不可或缺的...然而,为了保持系统的最新特性和安全性,考虑升级到较新的jQuery版本以及结合现代前端框架(如React或Vue)进行优化是值得考虑的。
jQuery实现div拖拽效果实例分析
10-22
本篇文章主要介绍了使用jQuery实现页面元素拖拽效果的方法,通过一个具体的实例演示了如何响应用户的鼠标事件来改变页面元素的样式,并对相关技巧和注意事项进行了分析。拖拽功能在用户交互中非常常见,允许用户通过...
jQuery 安全模型解释
weixin_30488313的博客
07-19 517
前言 jQuery是一个JavaScript UI框架,它为许多DOM操作功能提供了一个抽象层。它为开发人员提供了一个友好的界面,可以快速,动态地更新DOM,而无需重新加载整个页面。这是 jQuery 的优点及概念。 但 jQuery 在有着诸多优点的同时,它本身也存一些安全问题,而所有的 jQuery 安全问题都围绕着那些被滥用的功能,jQurey 团队修改了行为来保护开发人员,下面来...
jquery中的安全删除
AinUser的博客
05-07 347
$(function() { $(".sty1").each(function() { $(this).click(function() { var bn = window.confirm("是否删除?"); if (bn) { window.location.href = "?emps.id=" + $(this).attr("title
Web安全-JQuery框架XSS漏洞浅析
热门推荐
道阻且长,行则将至。
01-23 1万+
文章目录框架简介漏洞简述漏洞检测漏洞复现漏洞分析漏洞复现修复建议新版漏洞漏洞复现漏洞原理修复方案漏洞验证 框架简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装 JavaScript 常用的功能代码,提供一种简便的 JavaScript 设计模式,优化 HTML 文档操作、事件处理、动画设计和 Ajax 交互。 据一项调查报告,在对 433000 个网站的分析中发现,77%的网站至少使用了一个具
jquery无刷新文件上传 解决IE安全性问题
陈峰的专栏
03-12 5239
很多项目中都需要有文件上传的功能,一般文件上传有几种方式,input file表单上传,flash上传。 flash就不说了,能接受flash的就用吧。 下面介绍的这种是基于input file控件的无刷新上传文件方案。 一般上传是用iframe表单提交的方式,页面中的iframe刷新是不会刷新整个页面的,所以由iframe利用input file提交表单上传到服务器在主页面看起来就是无刷新
jquery哪个版本没漏洞_JS 框架安全报告:jQuery 下载次数超过 1.2 亿次
weixin_30128407的博客
01-30 659
(给前端大全加星标,提升前端技能)转自:开源中国尽管 JavaScriptjQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对...
jQuery 开发规范
chen_enson的博客
02-15 442
前言 小白在公司进行jQuery的项目开发时,常常会因为知道规范,但是在实际开发中却没有使用到开发规范,这里对jQuery的开发规范做一些记录,时刻提醒自己,开发要规范,文明你我他! 选择器的选择 当一个页面有唯一元素时,使用id,不用class 尽可能使用id jQ变量 存放 jQuery 对象的变量以 $ 开头; 将 jQuery 选择器返回的对象缓存到本地变量中复用; 使用驼峰命名变量...
浅谈jQuery 2.0版本
筱葭的博客
04-13 1258
1、jQuery 2.0 版本的一些特性: 1) 不兼容 IE6/7/8 需要注意 IE9、IE10 的兼容模式仍然会使 jQuery 2.0 运行不正常,需要在 HTTP header 指定 X-UA-Compatible 属性,或者在页面 meta 标签中声明(性能原因,不推荐后者); 2) 体积更小 移除 IE6/7/8 兼容所需的代码,jQuery 2.0体积减小了10%,并且会根
解决jquery-1.11.0.js安全漏洞
最新发布
人与人之间最小的差别是智商,最大的差别是坚持。
12-25 1172
这个文件被扫出安全漏洞有XSS攻击等 ,其中一个比较著名的漏洞是在JQuery 1.6.2版本中发现的。该漏洞被称为”attrFn"漏洞,它允许攻击者通过特殊构造的代码执行任意的JavaScript代码。
使用jQuery防范跨站脚本攻击
2301_79331328的博客
09-18 512
保持对最新安全威胁和漏洞的了解,并及时采取相应的防御措施,是确保网站和用户数据安全的关键。跨站脚本攻击是Web安全中的一个重要问题,但我们可以使用jQuery来有效地防御这种类型的攻击。通过HTML编码、移除危险标签以及使用安全jQuery插件,我们可以增强网站的安全性,保护用户的隐私和数据安全。除了进行HTML编码,还可以移除用户输入中的危险HTML标签,从而有效地防止跨站脚本攻击。在本文中,我们将介绍一些常见的跨站脚本攻击方式,并展示如何使用jQuery进行有效的防御。变量包含一个恶意的脚本代码。
掌握jQuery基础操作 实验报告分析
5. 实验分析分析实验过程中遇到的问题及解决方案,以及对实验结果的评估。 6. 实验总结:总结实验的收获与体会,以及对未来学习和应用的展望。 知识点五:如何练习jQuery 要有效地练习jQuery,应该遵循以下步骤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值