在之前的前端规范 - 前端广义安全规范中聊到xss,就简单带过了
- 一是因为网上讲xss的优秀文章太多,我也没法讲出更多花儿来
- 二是因为xss作为前端安全的第一题,在2022年这个时候,我觉得应当不会再有xss的问题了
还真就发现了xss
昨天逛某社区网站的时候,突然弹了一个弹窗
嗯???被xss了?
当时手贱,直接刷新了网页,换了一批内容推荐,就没有这个弹窗了
我也写个xss试试?
代码很简单,平路框输入 <img src="1.png" onerror="alert('haha')" alt="">
,然后提交
果然,也有alert弹窗,这块的xss的确没有做防御
社区网页端fix了xss
今天打开社区,之前发的那个xss的消息,下面评论说xss不生效了,已经被防御了
再打开了一下,果然已经fix了,效率还是很高的
别人的那个xss原贴
搜了一下那个xss的原贴,跟我的代码差不多,莫非大家都只会这种xss方法?
后记
前端安全,还是很重要的,打算专门开一个前端安全的专栏,聊一下这些年我遇到过的前端问题