【前端安全】-【防范xss攻击】

最新推荐文章于 2024-11-12 11:19:19 发布
最新推荐文章于 2024-11-12 11:19:19 发布
阅读量1.7k 收藏 25
点赞数 31
文章标签: 前端 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/136950774
版权
文章目录
  • XSS 漏洞的发生和修复
  • * 案例
    • 注意特殊的 HTML 属性、JavaScript API
    • 根据上下文采用不同的转义规则

XSS 漏洞的发生和修复

XSS 攻击是页面被注入了恶意的代码

案例

公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明写的前端页面代码如下:

<input type="text" value="<%= getParameter("keyword") %>">
<button>搜索</button>
<div>
  您搜索的关键词是:<%= getParameter("keyword") %>
</div>

如果这个url是:http://xxx/search?keyword="><script>alert('XSS');</script>,会导致页面弹出两次弹窗,因为当浏览器请求http://xxx/search?keyword="><script>alert('XSS');</script>时,服务端会解析出请求参数keyword,得到"><script>alert('XSS');</script>,拼接到HTML中返回给浏览器。形成了如下的
HTML:

<input type="text" value=""><script>alert('XSS');</script>">
<button>搜索</button>
<div>
  您搜索的关键词是:"><script>alert('XSS');</script>
</div>

浏览器无法分辨出<script>alert('XSS');</script>是恶意代码,因而将其执行。这里不仅仅div的内容被注入了,而且input的value属性也被注入,alert会弹出两次。

解决方案 :对特殊字符进行转义:

<input type="text" value="<%= escapeHTML(getParameter("keyword")) %>">
<button>搜索</button>
<div>
  您搜索的关键词是:<%= escapeHTML(getParameter("keyword")) %>
</div>

上述url(http://xxx/search?keyword="><script>alert('XSS');</script>)展示的内容如下:

<input type="text" value="&quot;&gt;&lt;script&gt;alert(&#x27;XSS&#x27;);&lt;&#x2F;script&gt;">
<button>搜索</button>
<div>
  您搜索的关键词是:&quot;&gt;&lt;script&gt;alert(&#x27;XSS&#x27;);&lt;&#x2F;script&gt;
</div>

总结:

  1. 通常页面中包含的用户输入内容都在固定的容器或者属性内,以文本的形式展示。
  2. 攻击者利用这些页面的用户输入片段,拼接特殊格式的字符串,突破原有位置的限制,形成了代码片段。
  3. 攻击者通过在目标网站上注入脚本,使之在用户的浏览器上运行,从而引发潜在风险。
  4. 通过 HTML 转义,可以防止 XSS 攻击

注意特殊的 HTML 属性、JavaScript API

如果要根据URL参数决定跳转路径,前端代码:<a href="<%= escapeHTML(getParameter("redirect_to")) %>">跳转...</a>,假如URL
http://xxx/?redirect_to=javascript:alert('XSS'),服务端响应就成了:<a href="javascript:alert(&#x27;XSS&#x27;)">跳转...</a>,虽然代码不会立即执行,但一旦用户点击a标签时,浏览器会就会弹出“XSS”。

解决方案 :先把getParameter("redirect_to")的值转换成小写,再比对,下文省略了转换成小写的代码

// 禁止 URL 以 "javascript:" 开头
xss = getParameter("redirect_to").startsWith('javascript:');
if (!xss) {
  <a href="<%= escapeHTML(getParameter("redirect_to"))%>">
    跳转...
  </a>
} else {
  <a href="/404">
    跳转...
  </a>
}

如果链接是http://xxx/?redirect_to=%20javascript:alert('XSS')%20javascript:alert('XSS')经过URL解析后变成javascript:alert('XSS'),这个字符串以空格开头。这样攻击者可以绕过后端的关键词规则,又成功的完成了注入。最终,小明选择了白名单的方法,彻底解决了这个漏洞:

// 根据项目情况进行过滤,禁止掉 "javascript:" 链接、非法 scheme 等
allowSchemes = ["http", "https"];

valid = isValid(getParameter("redirect_to"), allowSchemes);

if (valid) {
  <a href="<%= escapeHTML(getParameter("redirect_to"))%>">
    跳转...
  </a>
} else {
  <a href="/404">
    跳转...
  </a>
}

总结:

  1. 做了 HTML 转义,并不等于高枕无忧。
  2. 对于链接跳转,如<a href="xxx"location.href="xxx",要检验其内容,禁止以javascript:开头的链接,和其他非法的scheme。

根据上下文采用不同的转义规则

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

教IT的小强
关注
前端安全之-XSS(跨站脚本攻击)详解
wb199811的博客
08-17 7968
xss跨站脚本攻击一.XSS的基本概念二、XSS攻击的主要途径三、XSS的分类反射型XSS存储型XSSDOM XSS防范措施利用 CSP利用 HttpOnly 一.XSS的基本概念 XSS又叫CSS (Cross Site Script) ,为了和css(层叠样式表)区分,我们通常称它为(xss)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 xss是一种发生在web前端的漏洞,所以其危害的对象也主要
前端安全XSS
weixin_30396699的博客
07-15 58
XSS 攻击分两种模式,一种是存储式,就是说会入侵数据库的,另一种是反射式,是依赖服务器站点的返回攻击,这个是被动的,需要用户点特定的按钮或者执行特定的 action 才能触发的。 储存式:比如说我们在写博客的时候提交一段 js 代码上去,专门搞破坏,在某个 input 里面输入一段 js语句 或者导入一个 js 文件,提交到服务器,后端不经过验证,直接存储到数据库,当别人打开这个文档的时候,就...
安全测试之xss漏洞的检测与防御
HSS919的博客
03-13 4862
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
如何测试XSS漏洞
guigui578826243的专栏
05-07 777
对于非富文本在输入框中输入特殊字符 提交   在提交后的页面查看源代码根据关键字tiehua查找源代码中的tiehua前后的’是否已经被转义成   &lt&quot&gt&apos 如果未被转义说明这个输入框存在xss漏洞的嫌疑(提交bug)。   对于富文本输入框输入提交页面   如果页面有出现排版问题或者js错误说明这个输入框存在xss漏洞的嫌疑(提交
前端角度防范XSS攻击的策略与实践
qq_53742640的博客
04-12 1338
防范XSS攻击是一个复杂的过程,需要开发者在前端开发中始终保持警惕。通过输入验证、输出编码、合理设置HTTP头部以及利用现代前端框架和库提供的安全特性,可以大大降低XSS攻击的风险。然而,安全是一个不断发展的领域,开发者应该持续关注最新的安全研究和最佳实践,以保护用户和数据安全
TP6.0-----防范XSS攻击
Keybord_hard的博客
02-08 223
TP6.0-----防范XSS攻击
前端安全——XSS攻击防御原理详解
qq_44197554的博客
12-13 5683
前端开发人员必备安全防范知识——XSS攻击防御,希望大家可以认识到xss攻击的危害
前端安全之预防XSS攻击
主题模板站的博客
01-27 994
一般是提供一个免费的wifi,但是提供免费wifi的网关会往你访问的任何页面插入一段脚本或者是直接返回一个钓鱼页面,从而植入恶意脚本。这个其实就是wifi流量劫持,中间人可以看到用户的每一个请求,可以在页面嵌入恶意代码,使用恶意代码获取用户的信息,可以返回钓鱼页面。基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。这攻击其实跟网站本身没有什么关系,只是数据被中间人获取了而已,而由于HTTP是明文传输的,所以是极可能被窃取的。
前端安全XSS攻击(跨域脚本攻击)
热门推荐
业余丰富各种技术栈
08-18 2万+
前端安全XSS攻击,以及常用防范XSS攻击的解决方案
前端安全系列:如何防止XSS攻击
01-27
总结来说,XSS攻击是一种严重威胁前端安全的问题,需要开发者结合后端和前端的防护手段进行防御。理解XSS攻击的原理,正确处理用户输入,启用现代浏览器的安全特性,并持续进行安全审计和更新,是确保应用程序安全的...
网络攻防-XSS跨站脚本攻击详解及其防范
10-31
使用场景及目标:帮助IT专业人员深入了解XSS的工作机制,提高对XSS的认识水平,并掌握具体的防护手段,加强web应用安全性,减少遭受XSS攻击的可能性。 其他说明:阅读本文有助于加深对于现代web应用程序中普遍存在的...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
网络安全 - Web 安全攻防 - DOM 型 XSS 实验包 - DOMBasedXSSLab.zip
09-22
- **防御策略**:介绍如何防范 DOM 型 XSS 攻击,包括前端和后端的安全措施。 ### 实验目的 - **理解 DOM 型 XSS**:通过实验了解 DOM 型 XSS 的工作原理和攻击流程。 - **掌握防御技术**:学习如何在实际开发中...
前端 Flex 布局语法详解
ning的博客
11-10 1097
Flex是Flexible Box的缩写,意为“弹性布局”。它允许容器内的项目(子元素)自动调整大小,以适应不同屏幕尺寸和布局需求。如果需要行内Flex布局,可以使用Flex布局提供了一种强大而灵活的方式来创建响应式布局。通过理解并应用上述属性,你可以轻松地创建出复杂且适应不同屏幕尺寸的布局。随着现代浏览器对Flex布局的广泛支持,它已经成为前端开发中不可或缺的一部分。版权声明:本博客内容为原创,转载请保留原文链接及作者信息。参考文章CSDN - Flex布局详解菜鸟教程 - Flex 布局语法教程。
蓝凌OA-EKP hrStaffWebService 任意文件读取漏洞
iSee857的博客
11-12 465
它集成了流程管理、知识管理、会议管理、公文管理、合同管理、费用管控等多个模块,旨在帮助企业解决基础OA应用、系统集成、开发平台和创新业务定制等长期扩展需求,推动企业实现管理在线化、知识赋能化、运营数字化和人机智能化‌。漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。在处理客户端输入的参数时,进行严格的验证和过滤,防止未授权的文件访问。返回数据经过base64编码 解码后可得读取数据。
Vue中的常用指令
最新发布
m0_62388400的博客
11-12 951
指令(Directives)是 Vue 提供的带有的 特殊 标签。为啥要学:提高程序员操作 DOM 的效率。vue 中的指令按照不同的用途可以分为如下 6 大类:内容渲染指令(v-html、v-text)条件渲染指令(v-show、v-if、v-else、v-else-if)事件绑定指令(v-on)属性绑定指令 (v-bind)双向绑定指令(v-model)列表渲染指令(v-for)指令是 vue 开发中最基础、最常用、最简单的知识点。
@RestController 源码解读:解决 Web 开发中 REST 服务的疑难杂症
狼堡灰太狼的博客
11-11 956
这里可以理解成,注解MyInterface2的value属性重写了注解MyInterface1的value属性,但重新的属性的返回类型必须相同。可以看出对于value这个属性来说,@Configuration注解中的值会重写@Component的value属性值,这有点像类之间的继承,子类可以重父类的方法。达到 @MyInterface1(value2="number1") 和 @MyInterface1(value1="number1") 的效果相同。JDK 17 引入 records 新特性。
在 .NET 6.0 中创建用于 CRUD 操作的 Web API
csdn_aspnet的专栏
11-09 862
为了保持代码库的简洁高效,建议从 ProductDBContext.cs 中删除 OnConfiguring() 方法,因为它包含数据库连接字符串,为了更好地组织,应该以不同的方式管理它。NET 6 Web API 是一个先进的框架,一个精心设计的创新框架,用于构建针对 Web 应用程序个性化的弹性应用程序编程接口。为了适应 .NET 6 中引入的更改,现在在 Program.cs 文件中进行了配置调整,因为 Startup.cs 不再用于配置。CRUD 是创建、读取、更新和删除的首字母缩写词。
前端安全实践:深度解析防止XSS攻击策略
的警告框。这是怎么一回事呢?原来,小明的页面没有对用户输入的`keyword`参数进行任何处理,导致恶意用户可以通过构造特定的URL参数,将JavaScript代码...因此,了解和防范XSS攻击对于保障用户和企业的利益至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值