前端安全 - 记一次某社区网站的xss

最新推荐文章于 2024-07-22 15:19:55 发布
最新推荐文章于 2024-07-22 15:19:55 发布
阅读量391 收藏
点赞数
分类专栏: # 前端安全 文章标签: 前端 安全 xss web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loulanyijian/article/details/125465396
版权

在之前的前端规范 - 前端广义安全规范中聊到xss,就简单带过了

  • 一是因为网上讲xss的优秀文章太多,我也没法讲出更多花儿来
  • 二是因为xss作为前端安全的第一题,在2022年这个时候,我觉得应当不会再有xss的问题了

还真就发现了xss

昨天逛某社区网站的时候,突然弹了一个弹窗
在这里插入图片描述
嗯???被xss了?
当时手贱,直接刷新了网页,换了一批内容推荐,就没有这个弹窗了

我也写个xss试试?

代码很简单,平路框输入 <img src="1.png" onerror="alert('haha')" alt="">,然后提交
果然,也有alert弹窗,这块的xss的确没有做防御

社区网页端fix了xss

今天打开社区,之前发的那个xss的消息,下面评论说xss不生效了,已经被防御了
再打开了一下,果然已经fix了,效率还是很高的

别人的那个xss原贴

搜了一下那个xss的原贴,跟我的代码差不多,莫非大家都只会这种xss方法?
在这里插入图片描述

后记

前端安全,还是很重要的,打算专门开一个前端安全的专栏,聊一下这些年我遇到过的前端问题

loulanyijian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端开源库-xss-filters
08-29
"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是提供安全XSS过滤器,帮助开发者有效地防止XSS攻击。 这个库的核心功能是提供一系列的输出过滤机制,这些过滤器能够识别并清除或转义可能...
网络安全-前端安全-防御手段.pdf
10-23
浏览器安全控制是前端安全防御手段的另一个重要组成部分。浏览器安全控制包括Content-Security-Policy(CSP)、 SAMEORIGIN 和 X-Frame-Options 等。 Content-Security-Policy(CSP)是一种安全机制,用于定义...
前端常见的安全问题及防范措施
2401_84208172的博客
05-24 727
网络上有很多黑客为了让用户能够登录自己开发的钓鱼网站,都会通过对CDN进行劫持的方法,让用户自动转入自己开发的网站。而很多用户却往往无法察觉到自己已经被劫持。其实验证被劫持的方法,就是输入任何网址看看所打开的网页是否和自己输入的网址一致,
大厂都爱问的前端安全问题及防范措施
qq_41960279的博客
02-24 388
前言 随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。 如果这篇文章有帮助到你,❤️关注+点赞❤️鼓励一下作者,文章公众号首发,关注 前端南玖 第一时间获取最新的文章~ 前端安全问题 跨站脚本攻击(XSS
XSS攻击和CSRF攻击,你怕了吗?
weixin_54681929的博客
08-31 949
目录XSS攻击一、简述二、XSS的类型1、反射型2、存储型3、DOM型4、总结三、CSRF攻击四、CSRF攻击与XSS攻击的区别 本人是一名前端爱好者,写博客主要用于录下自己的学习过程,如果下方有表述不当的地方欢迎大家在评论区留言指正!希望大家看完这篇文章之后能对XSS攻击和CSRF跨域攻击有个基本的了解! XSS攻击 一、简述 XSS(Cross-site scripting),给人的第一种感觉好像可以简写为CSS,但由于其容易和层叠样式表(Cascading Style Sheets,CSS)的缩写混
前端安全】JavaScript防http劫持与XSS
yzyssg1的博客
11-14 294
摘要: 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 397
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
python爬虫基础——Webbot库介绍
最新发布
qq_56262770的博客
07-22 589
Webbot是一个专为Python设计的库,用于简化网页自动化任务。它基于Selenium WebDriver,提供了一系列高级接口,使自动化任务更加直观和易于管理。Webbot库的设计理念是将复杂的网页交互抽象为简单的API调用,从而减少开发者在编写自动化脚本时的工作量。Webbot库的核心功能包括自动化表单填写、点击操作、数据抓取等,同时支持处理JavaScript渲染的页面和模拟用户行为。这些功能使得Webbot库成为自动化测试、数据收集和网页监控等领域的理想选择。
LG 选择 Flutter 来增强其智能电视操作系统 webOS
恋猫de小郭的博客
07-17 1747
总的来说,LG 是 Flutter 在 TV 领域的一次新的尝试,并且它是在脱离了 Android 平台的场景下实现的支持,虽然 webOS 并不是什么流行的系统,但是这也体现出了 Flutter 的特点:可以用较低的成本实现较好性能的跨平台。后续,在 LG 的主导下,WebOS 经过进一步修改,转变为智能电视操作系统,于是 WebOS TV 就诞生了,此后 LG 的 TV 基本路线定为 webOS ,在应用层面,WebOS TV 以基于 Web 的技术为基础。然后 LG 为什么选择 webOS?
前端小游戏,4096小游戏,有音效,Html5,可学习使用
m0_62996549的博客
07-18 456
【代码】纯前端小游戏,4096小游戏,有音效,Html5,可学习使用。
前端性能优化--懒加载
weixin_43799793的博客
07-19 173
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 383
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
前端小项目-强调鼠标悬停时效果的名片
关注收藏,可以私信解决问题!
07-19 1055
在学习完HTML和CSS之后,我们就可以开始做一些小项目了。本篇文章所讲的小项目为——动态效果名片。通过这个项目,你将学会如何使用HTML和CSS来创建一个具有动态效果的名片。
web前端 React 框架面试200题(三)
柯晓楠
07-21 401
纯组件是可以编写的最简单和最快的组件。它们可以替换任何只有 render() 的组件。这些组件增强了代码的简单性和应用程序的性能。Context 通过组件树提供了一个传递数据的方法,从而避免了在每一个层级手动的传递 props 属性在JSX表达式中,一个开始标签(比如)和一个关闭标签(比如)之间的内容会作为一个特殊的属性props.children被自动传递给包含着它的组件。
前端使用webSocket与后台建立连接并进行心跳监测机制
On the way
07-18 447
2.在页面初始化的时候调用getWebSocket此方法。首先项目中需要引入websocket。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值