前端防范xss攻击的实用方案

最新推荐文章于 2024-05-24 09:21:33 发布
最新推荐文章于 2024-05-24 09:21:33 发布
阅读量1.2k 收藏 2
点赞数

一、xss攻击原理

大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢?

xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框:

xss攻击图1

在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况:

xss攻击图2

为什么会酱紫呢?

因为我们在说明这一栏的input,会将后端返回的内容直接追加进去,导致js代码执行。

可能有同学会不屑一顾:

你弹个框又能怎样呢?大不了我关了就是了呗!

那假设是cookie这样的敏感信息呢?我们不妨来做个试验:

xss攻击图3

执行代码:

xss攻击图4

这样就可以获取到一个用户的cookie了。那再进一步,如果把所有的cookie都想办法弄出来,然后存到自己的库里面的话。。。

想想挺带劲的哈,咱们不妨动手搞一下。

我们可以直接注入这样一段js脚本:

xss攻击图5

这段脚本呢,我就直接这么搞:

xss攻击图6

您别误会,我的本意不是创建一个图片,而是利用图片的src跨域属性,直接把cookie的值,传送到我的php后端代码里面,接下来就可以入库了哈哈~~

by the way,将图片的宽高设置为0,用户是不会看到这个图片的,因此这段js一旦注入生效,所有的用户都会触发这个js,从而将自己的cookie源源不断的输送到我的php代码中。

二、防范

好了,原理有了一定的了解之后,接下来就是如何防范了。

问题的源头在于js代码的注入,我们可以想个办法,不让js生效不就行了?

大家要注意两头的防范:

1)输入。

在提交表单时,前端最好将文本内容转为html实体编码,也就是过滤掉<script>、<a>、这样的内容,然后再提交到后台去。当然保险起见,后台也要再做一遍html实体转码,然后再入库。

2)输出。

在显示文本内容时,最好也要做一次html实体编码转换后再显示,防止<script>标签生效。

三、手段

这里给大家介绍一种简单的处理办法。

1、如果您是用的vue、react或node。

安装:

$ npm install xss --save

使用:

xss攻击图7

2、也可以直接在页面引用。

引入文件:

https://raw.github.com/leizongmin/js-xss/master/dist/xss.js

使用:

xss攻击图8

四、实现原理

实现的原理也很简单,就是过滤掉不该有的标签即可,我们可以这样来写:

xss攻击图9

大家可以顺着这个思路,自己动手写一个这样的函数。



作者:姜治宇
链接:https://www.jianshu.com/p/e554b5a5c304
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

hsany330
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全问题及防范措施
weixin_42429220的博客
04-24 1321
本文介绍了前端安全问题,包括 XSS 攻击、CSRF 攻击、SQL 注入等。同时,也给出了针对这些安全问题的防范措施,如在前端代码中过滤用户输入,使用 HTTP-only 标记,设置 Content-Security-Policy,添加 token,检查请求来源和使用参数化查询等。XSS 攻击(跨站脚本攻击)是指攻击者向 Web 页面中注入恶意代码,从而窃取用户信息或执行其他恶意操作。SQL 注入是一种最为常见的攻击方式之一,攻击者通过在用户输入中注入 SQL 代码,从而导致网站受到损害,破坏数据库安全。
vue项目如何防范XSS攻击
接着奏乐接着舞的博客
11-16 1778
介绍了实际工作中渲染数据时遇到XSS攻击时的防范措施,以及解决方案。还有XSS攻击的原理、途径以及如何防范
Vue项目如何进行XSS防护
最新发布
执着
05-24 389
在目前主推网络安全的情况下,很多开发项目都需要在上线前进行渗透测试,当符合渗透测试标准及没有安全漏洞即可正常上线,当前还会有代码审计的,这个另当别论。如果你的项目是vue2+webpack+js的话,推荐使用vue-xss库,方便快捷安装命令在main.js中引入并且使用在组件中的使用如果你的是阴间项目,使用的是vue2+ts+webpack的项目,那你可以参考上面的vue3+ts+vite项目的使用方法,注意vue2和vue3全局挂在自定义方法是不一样的,这里需要自行修改。
防止XSS攻击的方法-使用白名单过滤html标签
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
03-14 6401
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容 解决方法一:jsoup工具类 org.jsoup j
前端XSS攻击和防御
weixin_30455661的博客
04-21 257
  xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。   大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚...
XSS攻击防御
ssslq的博客
03-08 2244
XSS攻击防御
PyPI 官网下载 | xss-utils-0.3.0.tar.gz
01-30
前端开发中,xss-utils提供了安全的字符串操作函数,例如HTML编码和解码,这有助于防止用户输入的数据在渲染时触发XSS攻击。这些函数通常用于处理用户提交的表单数据,确保它们在显示到网页上时不会被执行。此外,...
泛微前端手册前段
04-17
9. **安全实践**:前端的安全注意事项,如XSS攻击防范、CSRF令牌的使用,以及如何保护用户数据安全。 10. **部署与发布**:前端应用的构建流程,如使用Webpack或Gulp进行打包,以及如何部署到生产环境。 通过这份...
简单实用word控件 应用于web开发
12-09
同时,要防范XSS(跨站脚本)和CSRF(跨站请求伪造)等攻击,确保数据传输过程中的加密和完整性。 5. **响应式设计**:为了提供良好的用户体验,Web应用应适应各种屏幕尺寸和设备。这意味着word控件需要具备响应式...
商业编程-源码-醒目留言本.zip
06-23
【醒目留言本】的源码会展示如何防范SQL注入、XSS攻击等常见安全问题,例如使用预编译语句、过滤用户输入等。 5. **用户体验优化**:商业应用不仅需要功能完备,还要注重用户体验。源码可能会包含一些优化技巧,如...
[整站程序]8优技巧网_8ujq.rar
05-17
8. **安全性**:网站的安全性是不可忽视的,整站程序需要防范SQL注入、XSS攻击、CSRF等威胁。定期更新和修补漏洞,使用HTTPS加密通信,以及设置合理的权限管理都是必要的安全措施。 9. **响应式设计**:为了适应...
前端如何防止XSS攻击
HarryHY的博客
08-09 6355
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3276
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
XSS系列二:基于vue搭建的网站如何防范XSS攻击
川端小树的博客
10-02 5540
1.对于从接口请求的数据,尽量使用{{}}加载,而不是v-html vue中的大括号会把数据解释为普通文本。通常如果要解释成html代码则要用v-html。而此指令相当于innerHTML。虽然像innerHTML一样不会直接输出script标签,但也可以输出img,iframe等标签。 vue文档关于v-html的说明如下所示: 2.对用v-html和innerHTML加载的客户信息进行转义 如果显示内容里面有html片段,一定需要用v-html或者innerHTML加载,例...
防御XSS攻击:基于白名单的富文本XSS后端过滤(jsoup)
热门推荐
玩具熊猫的博客
01-23 1万+
简介:  跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。   攻击原理:XSS攻击分为很多,其中一种是,攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而达到恶意攻击用户的目的。本文主要介绍的是富文本的sc
怎么使用input执行xss攻击_XSS场景及修复方案总结
weixin_32562973的博客
01-16 4624
xss原理跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。xss分类反射型存储型DOM型xss场景和防御1. 恶意数据出现在标签内<body> ...恶意数据 </body>漏洞代码Strin...
前端输入框如何防止js代码攻击
qq_41621512的博客
09-27 5055
这种攻击一般叫做xss攻击 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比如:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。 攻击的危害  攻击者把代码注入进了访问的页面,所以恶意脚本...
前端XSS攻击场景与Vue.js处理XSS的方法:vue-xss
zhangzuying的博客
12-21 3675
前端开发中,跨站脚本攻击(XSS)是一种常见的安全威胁。本文将介绍前端跨站脚本攻击(XSS)的场景以及在Vue.js框架中如何处理XSS的方法。通过了解这些内容,我们可以更好地保护前端应用程序的安全性,防止恶意攻击。一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击
前端安全之XSS的原理和防范
我可是小老虎的博客
10-11 880
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
分析防范XSS攻击的方法
05-12
XSS攻击是指攻击者利用网页开发时留下的漏洞,注入恶意的脚本程序到网页上,使用户加载并执行攻击者恶意提供的脚本,进而达到攻击的目的。以下是防范XSS攻击的一些方法: 1. 输入检查:对于用户输入的数据,要对其进行有效性验证,过滤掉非法字符,比如"<"、">"、"&"、"'"、"""等特殊字符。可以利用正则表达式或是一些内置的函数来实现。 2. 输出编码:对于从数据库或其他地方获取的数据,要对其进行安全编码,比如HTML编码、URL编码等,使其不被浏览器解释为脚本代码。 3. 设置HTTP头:设置X-XSS-Protection头部,可以让浏览器自动检测和防范XSS攻击。 4. 使用CSP:Content Security Policy(CSP)是一种安全策略,可以定义网页中哪些资源可以被加载和执行,从而避免XSS攻击。 5. 使用HTTPS:使用HTTPS可以防止中间人攻击,保护用户的隐私和数据安全。 以上是一些常见的防范XSS攻击的方法,但是需要注意的是,这些方法并不能完全避免XSS攻击,因为攻击者总是可以想出新的攻击方式。因此,在开发过程中,要时刻保持警惕,加强安全意识,及时修复漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值