最全--跨站脚本攻击(XSS)举例和预防方法

于 2024-04-30 14:12:13 发布
阅读量1.2k 收藏 16
点赞数 24
分类专栏: 前端 文章标签: xss 前端 跨站脚本工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lalala8866/article/details/138344302
版权

XSS定义

跨站脚本攻击(XSS)是指攻击者通过在网页中注入恶意脚本 srcipt ,进而在用户浏览该网页时执行恶意脚本,从而窃取用户信息、篡改网页内容等。总之:安全无小事,需要前后端等同学都预防,默认不信任数据

不安全的数据来源

  • 假设来源不一定安全,那么需要进行转义。
    • URL查询参数
    • 后台数据库(接口)返回值
    • 用户在当前页面的输入内容
  • 假设来源安全(内存临时变量),那么大概率安全,也要进行判断。

一、HTML相关

1、避免使用.innerHTML.outerHTML

当从URL查询参数中取值并未经过转义处理直接使用时,攻击者可以在URL中添加恶意脚本,使其在用户访问时被执行。

<div id="content"></div>
<script>
    var content = document.getElementById("content");
    var name = new URLSearchParams(window.location.search).get("name");
    content.innerHTML = "Hello, " + name;
    // 解决办法:使用`.innerText`或`.textContent`替代`.innerHTML`和`.outerHTML` 或者其他转义方法
</script>

1.2 解释

在上述代码中,从URL查询参数中获取name值,并直接将其插入到页面中,未经过转义处理。攻击者可以在URL中添加恶意脚本,例如:?name=<script>alert('XSS')</script>,当用户访问该URL时,恶意脚本将被执行。

2、避免使用document.write()

避免使用document.write(),改用其他DOM操作方法,如createElementappendChild等。

<div id="content"></div>
<script>
    var content = document.getElementById("content");
    var userInput = "<script>alert('XSS');</script>";
    // 错误写法 document.write(userInput);
    var textNode = document.createTextNode(userInput);
    content.appendChild(textNode);
</script>

3、使用.setAttribute()前要判断

当使用.setAttribute()为元素设置属性时,确保属性值不包含恶意脚本

<a id="link" href="#">Click me</a>
<script>
    var link = document.getElementById("link");
    var userInput = "javascript:alert('XSS');";
    // 错误写法 link.setAttribute("href", userInput);
    if (!/^javascript:/i.test(userInput)) {
        link.setAttribute("href", userInput);
    }
</script>

4、使用Vue.js中的v-html之前要判断

Vue.js中避免使用v-html指令插入不可信的动态内容。如有必要,可以使用第三方库(如DOMPurify)对内容进行清理。

<div id="app">
    <div v-html="cleanedUserInput"></div>
</div>
<script>
    new Vue({
        el: "#app",
        computed: {
            cleanedUserInput: function() {
                return DOMPurify.sanitize(this.userInput);
            }
        },
        data: {
            userInput: "<script>alert('XSS');</script>"
        }
    });
</script>

二、JavaScript相关

eval()setTimeout()setInterval()都可以执行JavaScript代码,当这些函数的参数是用户可控的输入时,可能会引入安全风险,尤其是跨站脚本攻击(XSS)。

1. eval()

var userInput = "alert('XSS');";
// 错误写法 eval(userInput);
避免使用`eval()`,尽量使用其他安全的方法来实现需求

2.setTimeout()

var userInput = "alert('XSS');";
// 错误写法 setTimeout(userInput, 1000);
解决办法:使用函数作为`setTimeout()`的第一个参数,而不是字符串。
setTimeout(function() {
    alert('Safe code');
}, 1000);

3.setInterval()

与 setTimeout() 相同

三、与后台相关

对用户提交的数据进行过滤和转义。示例:攻击者在评论系统中提交带有恶意脚本的评论,例如<script>alert('XSS');</script>,当其他用户查看评论时,恶意脚本被执行。
解决办法:在存储用户提交的数据之前,对其进行过滤和转义。可以使用专门的转义函数或库,如escapeHTML()DOMPurify等。另外如果数据库被恶意写入数据,那么也会导致前端不安全。

四、第三方库和插件

示例:使用了一个存在XSS漏洞的富文本编辑器。
解决办法:使用安全的第三方库和插件,并确保及时更新以修复已知漏洞。

程序员大侠
关注
  • 24
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB 安全,浅谈 XSS 攻击(附简单实例)
DisMisPres的博客
12-29 2405
为什么说一些网站上的弹出广告(一刀999)不要去点,特别是已经登录过的网站,个人信息的泄露等都很有可能是从这里泄露的。由于XSS这种攻击手法是很常见且基础的方式,目前大多数的web框架都对其做过适配了,我们也不需要太过担心这种安全问题,但是还是要知道有这么回事,并能够有相应的处理方案。现在大多数的项目都是前后端分离的,前后端都要对XSS有所了解,在实际开发中需要多考虑下这类安全问题。
web跨站脚本攻击XSS)与sql注入攻击 实例
a116385895的博客
07-02 3169
免责申明:对于此内容仅是提供参考,用于开发人员针对黑客攻击做好安全防范 XSS攻击: 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将跨站脚本缩写为XSS跨站脚本,顾名思义,就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码,一般需要以下几个条件: 客户端访问的网站是一个有漏洞的网站,但是他没有意识到; 在这个网站中通过一些手段放入一段可以执行的代码,吸引客户
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 7966
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
XSS(跨站脚本攻击)
无痕的博客
09-26 92
介绍XSS攻击、分类与防御
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3260
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
XSS攻击简单实例
绝圣弃智-零的博客
03-25 4062
下面演示一个简单的留言板攻击实例 我们有个页面用于允许用户发表留言,然后在页面底部显示留言列表 前端代码如下: <!DOCTYPE html><html><head> <?php include('/components/headerinclude.php');?></head> <style type=...
xss跨站脚本攻击-运维安全详细笔记
06-30
4.xss跨站脚本攻击防御方法 为了防御xss跨站脚本攻击,Web开发者需要采取以下措施: * 对用户提交的代码进行转义处理和过滤 * 使用输出编码 * 使用Content Security Policy(CSP)来限制网站的脚本执行 * 对网站的...
36-36.XSS跨站脚本攻击课程介绍.mp4
05-10
36-36.XSS跨站脚本攻击课程介绍.mp4
40-40.XSS跨站脚本攻击植入方式.mp4
最新发布
05-10
40-40.XSS跨站脚本攻击植入方式.mp4
39-39.XSS跨站脚本攻击类型介绍.mp4
05-10
39-39.XSS跨站脚本攻击类型介绍.mp4
跨站脚本攻击实例解析
12-29
Web安全深度剖析 跨站脚本攻击实例解析 跨站脚本攻击实例解析
XSS跨站脚本攻击防御
08-13
跨站脚本攻击是目前最为广泛的网络攻击方式,该资料对网络攻击防御有着很好地参考作用。
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
37-37.XSS跨站脚本攻击概念介绍.mp4
05-10
37-37.XSS跨站脚本攻击概念介绍.mp4
XSS 攻击常用代码
高压锅博客
12-22 7155
【代码】XSS 攻击常用代码。
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
怎么防止跨站脚本攻击XSS)?
Learn-anything.cn
11-24 3339
一、XSS 是什么? 跨站脚本攻击(Cross-site scripting,XSS)是攻击者向网站注入恶意脚本,等待用户访问网站并自动运行恶意脚本发起攻击的过程。不同的脚本可以实现不同目的: 盗用cookie,获取敏感信息。 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
XSS跨站脚本攻击入门实例--DVWA
chengfangang的专栏
03-03 7194
一、窃取Cookie       对于跨站的攻击方法,使用最多的莫过于cookie窃取了,获取cookie后直接借助“Live http headers、Tamper Data、Gressmonkey (Cookie injector)、Fiddler”等等工具将cookie修改为获取的cookie,这样即可获得权限。成功还有必要因素(同源策略+浏览器+form标签表单) 首先,我们在DVWA
跨站脚本XSS)攻击方法工具
06-07
跨站脚本XSS)攻击方法涉及以下工具方法: 1. 存储型XSS:攻击者将恶意脚本注入到应用程序中,当其他用户访问该页面时,恶意脚本会被执行。攻击者可以使用常见的 HTML 标签和 JavaScript 语法来注入恶意脚本工具包括 Burp Suite、OWASP ZAP、Netsparker、Acunetix等。 2. 反射型XSS:攻击者将恶意脚本注入到 URL 中,当用户点击该 URL 时,恶意脚本会被执行。攻击者可以使用常见的 HTML 标签和 JavaScript 语法来注入恶意脚本工具包括 Burp Suite、OWASP ZAP、Netsparker、Acunetix等。 3. DOM 型 XSS:攻击者将恶意脚本注入到应用程序中,当用户与该页面交互时,恶意脚本会被执行。攻击者可以使用常见的 HTML 标签和 JavaScript 语法来注入恶意脚本工具包括 Burp Suite、OWASP ZAP、Netsparker、Acunetix等。 需要注意的是,这些工具只能作为发现 XSS 漏洞的参考,最终的确诊需要经过深入的分析和验证。同时,在应用程序设计和开发阶段,应该采用以下措施来减少 XSS 攻击的风险: 1. 输入过滤:过滤和验证用户输入,以确保用户输入不包含恶意脚本。 2. 输出编码:对于所有输出到页面上的数据,都应该进行编码,以避免恶意脚本被执行。 3. 设置 HTTP 头:设置 HTTP 头,以防止浏览器执行恶意脚本。例如,设置 Content-Security-Policy 头、X-XSS-Protection 头等。 4. 使用安全的 Cookie:避免使用敏感信息存储在 Cookie 中,使用 HttpOnly 和 Secure 标志来保护 Cookie。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值