最全--跨站脚本攻击(XSS)举例和预防方法

最新推荐文章于 2024-08-16 18:08:04 发布
最新推荐文章于 2024-08-16 18:08:04 发布
阅读量1.5k 收藏 18
点赞数 24
分类专栏: 前端 文章标签: xss 前端 跨站脚本工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lalala8866/article/details/138344302
版权
本文介绍了跨站脚本攻击(XSS)的概念和常见漏洞,强调了HTML、JavaScript中避免恶意脚本执行的方法,包括使用innerText、textContent、转义和验证用户输入,以及在Vue.js和后台处理中确保数据安全。还提醒了使用第三方库时需注意的安全性问题。
摘要由CSDN通过智能技术生成

XSS定义

跨站脚本攻击(XSS)是指攻击者通过在网页中注入恶意脚本 srcipt ,进而在用户浏览该网页时执行恶意脚本,从而窃取用户信息、篡改网页内容等。总之:安全无小事,需要前后端等同学都预防,默认不信任数据

不安全的数据来源

  • 假设来源不一定安全,那么需要进行转义。
    • URL查询参数
    • 后台数据库(接口)返回值
    • 用户在当前页面的输入内容
  • 假设来源安全(内存临时变量),那么大概率安全,也要进行判断。

一、HTML相关

1、避免使用.innerHTML.outerHTML

当从URL查询参数中取值并未经过转义处理直接使用时,攻击者可以在URL中添加恶意脚本,使其在用户访问时被执行。

<div id="content"></div>
<script>
    var content = document.getElementById("content");
    var name = new URLSearchParams(window.location.search).get("name");
    content.innerHTML = "Hello, " + name;
    // 解决办法:使用`.innerText`或`.textContent`替代`.innerHTML`和`.outerHTML` 或者其他转义方法
</script>

1.2 解释

在上述代码中,从URL查询参数中获取name值,并直接将其插入到页面中,未经过转义处理。攻击者可以在URL中添加恶意脚本,例如:?name=<script>alert('XSS')</script>,当用户访问该URL时,恶意脚本将被执行。

2、避免使用document.write()

避免使用document.write(),改用其他DOM操作方法,如createElementappendChild等。

<div id="content"></div>
<script>
    var content = document.getElementById("content");
    var userInput = "<script>alert('XSS');</script>";
    // 错误写法 document.write(userInput);
    var textNode = document.createTextNode(userInput);
    content.appendChild(textNode);
</script>

3、使用.setAttribute()前要判断

当使用.setAttribute()为元素设置属性时,确保属性值不包含恶意脚本

<a id="link" href="#">Click me</a>
<script>
    var link = document.getElementById("link");
    var userInput = "javascript:alert('XSS');";
    // 错误写法 link.setAttribute("href", userInput);
    if (!/^javascript:/i.test(userInput)) {
        link.setAttribute("href", userInput);
    }
</script>

4、使用Vue.js中的v-html之前要判断

Vue.js中避免使用v-html指令插入不可信的动态内容。如有必要,可以使用第三方库(如DOMPurify)对内容进行清理。

<div id="app">
    <div v-html="cleanedUserInput"></div>
</div>
<script>
    new Vue({
        el: "#app",
        computed: {
            cleanedUserInput: function() {
                return DOMPurify.sanitize(this.userInput);
            }
        },
        data: {
            userInput: "<script>alert('XSS');</script>"
        }
    });
</script>

二、JavaScript相关

eval()setTimeout()setInterval()都可以执行JavaScript代码,当这些函数的参数是用户可控的输入时,可能会引入安全风险,尤其是跨站脚本攻击(XSS)。

1. eval()

var userInput = "alert('XSS');";
// 错误写法 eval(userInput);
避免使用`eval()`,尽量使用其他安全的方法来实现需求

2.setTimeout()

var userInput = "alert('XSS');";
// 错误写法 setTimeout(userInput, 1000);
解决办法:使用函数作为`setTimeout()`的第一个参数,而不是字符串。
setTimeout(function() {
    alert('Safe code');
}, 1000);

3.setInterval()

与 setTimeout() 相同

三、与后台相关

对用户提交的数据进行过滤和转义。示例:攻击者在评论系统中提交带有恶意脚本的评论,例如<script>alert('XSS');</script>,当其他用户查看评论时,恶意脚本被执行。
解决办法:在存储用户提交的数据之前,对其进行过滤和转义。可以使用专门的转义函数或库,如escapeHTML()DOMPurify等。另外如果数据库被恶意写入数据,那么也会导致前端不安全。

四、第三方库和插件

示例:使用了一个存在XSS漏洞的富文本编辑器。
解决办法:使用安全的第三方库和插件,并确保及时更新以修复已知漏洞。

程序员大侠
关注
专栏目录
11.2:.NET的跨站脚本攻击XSS)和跨站请求伪造(CSRF)防护(课程共5600字,3段代码举例
小兔子平安
08-16 128
课程为我们提供了全面的知识和实践经验,使我们能够更好地保护应用程序和用户的隐私。通过不断学习和实践,我们可以在.NET应用程序的开发过程中,始终将安全性作为重要的考虑因素,并采取有效的措施来应对不断演变的安全威胁。
XSS详解(常见的构造注入位置示例
m0_74120514的博客
06-03 2073
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种代码注入攻击,攻击者通过在目标网站中注入恶意脚本,使之在用户的浏览器上执行,从而窃取用户的敏感信息、劫持用户会话、进行钓鱼攻击等。示例:攻击者构造一段恶意脚本,通过JavaScript操作DOM,用户在浏览器中访问页面时,脚本直接在客户端执行,导致用户数据被窃取。示例:攻击者在论坛的评论区插入一段恶意脚本,当其他用户查看该评论时,恶意脚本在用户的浏览器中执行,导致用户数据被窃取。攻击者可以在HTML表单的输入字段中插入恶意脚本
XSS跨站脚本攻击
weixin_30505225的博客
04-26 1079
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
XSS-跨站脚本攻击
最新发布
qq_64177395的博客
08-16 1635
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
跨站脚本攻击实例解析
continue my dream
09-04 7666
作者:泉哥 主页:http://riusksk.blogbus.com   前言 跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻
XSS跨站脚本攻击过程最简单演示
热门推荐
smstong的成长轨迹
02-06 8万+
实例演示XSS的攻击全过程。
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7142
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
JS的33个概念—前端安全(跨站脚本攻击XSS跨站请求伪造CSRF)
jiaojsun的博客
07-26 1189
1.跨站脚本攻击(XSS) 1)定义 跨站脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用...
跨站脚本攻击(XSS)及防范措施
oscar999的专栏
04-22 4038
á 有两种表示方式: U+00C1 U+0041 U+0301 Unicode标准定义了四种范化形式: D: NFD 典型分解 KD: NFKD 规范分解,规范组成 C: NFC 兼容性分解 KC: NFKC 兼容性分解,规范组成 NF - normalization-type NO_DECOMPOSITION: 不分解, 不对字符串做任何范化 matplotlib ...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
跨站脚本漏洞(XSS)示例
04-15
NULL 博文链接:https://songjianyong.iteye.com/blog/1754973
xss跨站脚本攻击
weixin_46476861的博客
03-22 3280
了解xss 定义:恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss攻击流程图 演示原因 xss分类 漏洞等级:中危漏洞 漏洞等级:高危漏洞 漏洞等级:低危漏洞 存在的地方 XSS测试方法 火狐用法: xss实战 ...
10个XSS攻击实例
m0_49521873的博客
05-25 2013
1. Cookie盗窃攻击:攻击者可以通过注入恶意代码,获取用户的 Cookie,并利用 Cookie 进行身份验证,获取用户的敏感信息。4. 注入点击劫持攻击:攻击者可以注入一段代码,将隐藏的按钮伪装成用户需要点击的区域,当用户点击时,实际上在执行一个恶意操作。9. 恶意相片攻击:攻击者可以在从社交媒体网站下载的相片中注入一段代码,当用户查看相片时,代码就会临时运行,窃取用户的信息。8. 恶意广告攻击:攻击者可以在广告中注入一段代码,当用户点击广告时,代码就可以窃取用户的个人信息。
XSS跨站脚本实例
weixin_33742618的博客
11-12 133
刚毕业时候的做的报告,整理文档的时候搜了出来,可能不是很正确仅供参考了 URL注入 例如在页面上输入 http://localhost/SNDA.BBSEngine.UI.ALWeb/TopicContent.aspx?BoardID=59&TopicID=6890&Page=1-->'");></SCRIPT><...
各类花里胡哨的XSS攻击举例解读(正在持续更新中~)
WalterBailey's Blog
04-24 2684
文章目录XSS攻击XSS Payload“Cookie劫持”攻击更为强大XSS Payload构造GET和POST请求GET请求POST请求通过XSS Payload读取QMail用户的邮件文件夹XSS钓鱼识别用户浏览器通过XSS读取浏览器的UserAgent对象:另一种方法识别用户安装的软件 XSS攻击 XSS Payload XSS攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过...
XSS第四节,XSS攻击实例(一)
897371388
07-06 329
在开始实例的讲解之前,先看一下XSS的危害情况,第一张图中说明和XSS相关的CVE漏洞有7417个(http://web.nvd.nist.gov/view/vuln/search-results?query=xss&amp;search_type=all&amp;cves=on),第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个,足见XSS威力...
PHP 举例xss攻击
06-07
由于没有对用户输入的数据进行任何验证和过滤,攻击者可以通过输入恶意代码来实现 XSS 攻击。例如,攻击者可以在留言内容中输入以下内容: ``` <script>alert('XSS Attack!'); ``` 这段代码会被插入到数据库中,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值