JS加密解密/XSS的防御

最新推荐文章于 2024-06-28 16:20:01 发布
最新推荐文章于 2024-06-28 16:20:01 发布
阅读量1k 收藏 23
点赞数 25
文章标签: javascript xss 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mxd01848/article/details/139401826
版权

在这里插入图片描述

之前有一篇文章提到过xss,今天说一下防御策略

分析一下这段代码,拆解一下代码,写一篇对于防御xss的心得
if (arr != null) {
var filterXSS = function(e) {
    if (!e)
        return e;
    for (; e != unescape(e); )
        e = unescape(e);
    for (var r = ["<", ">", "'", '"', "%3c", "%3e", "%27", "%22", "%253c", "%253e", "%2527", "%2522"], n = ["&#x3c;", "&#x3e;", "&#x27;", "&#x22;", "%26%23x3c%3B", "%26%23x3e%3B", "%26%23x27%3B", "%26%23x22%3B", "%2526%2523x3c%253B", "%2526%2523x3e%253B", "%2526%2523x27%253B", "%2526%2523x22%253B"], a = 0; a < r.length; a++)
        e = e.replace(new RegExp(r[a],"gi"), n[a]);
    return e
};
return filterXSS(unescape(arr[2]));
}
;return null

这段代码的思路拆解

这段代码的目的是对用户输入进行过滤,以防止跨站脚本(XSS)攻击。让我们详细拆解这段代码,并分析其工作原理和有效性。

代码拆解

  1. 检查 arr 是否为空:

    if (arr != null) {

    代码首先检查变量 arr 是否为 null。如果 arrnull,则不进行后续操作。

  2. 定义 filterXSS 函数:

    var filterXSS = function(e) {

    filterXSS 是一个用于过滤 XSS 攻击的函数。它接收一个参数 e,表示需要过滤的输入。

  3. 检查 e 是否为空:

    if (!e) return e;

    如果 enullundefined,直接返回 e,不进行后续过滤。

  4. 反复解码 e

    for (; e != unescape(e); ) e = unescape(e);

    这段代码使用 unescape 函数对 e 进行反复解码,直到 e 无法再被解码为止。这一步旨在处理被编码多次的攻击字符串。

  5. 替换潜在危险字符:

    for (var r = ["<", ">", "'", '"', "%3c", "%3e", "%27", "%22", "%253c", "%253e", "%2527", "%2522"], n = ["&#x3c;", "&#x3e;", "&#x27;", "&#x22;", "%26%23x3c%3B", "%26%23x3e%3B", "%26%23x27%3B", "%26%23x22%3B", "%2526%2523x3c%253B", "%2526%2523x3e%253B", "%2526%2523x27%253B", "%2526%2523x22%253B"], a = 0; a < r.length; a++)
    e = e.replace(new RegExp(r[a],"gi"), n[a]);

    这里定义了两个数组 rnr 包含需要替换的潜在危险字符及其编码形式,而 n 包含相应的安全替换字符。通过循环,逐个将 r 中的字符替换为 n 中的字符。

  6. 返回过滤后的字符串:

    return e

    最终返回过滤后的字符串。

  7. 调用 filterXSS 并返回结果:

    return filterXSS(unescape(arr[2]));

    arr[2] 进行解码,并将其传递给 filterXSS 函数进行过滤,然后返回过滤后的结果。

  8. 处理空 arr 情况:

    ;return null

    如果 arrnull,则直接返回 null

防御 XSS 的心得

  1. 多层次编码和解码: 在处理用户输入时,不仅要考虑原始输入,还要考虑多次编码后的输入。攻击者常常会对恶意脚本进行多次编码以绕过简单的过滤规则。代码中通过反复调用 unescape 函数处理了这种情况。
  2. 全面的字符替换: 代码中定义了一个字符替换列表,将 <, >, ', " 等潜在危险字符及其多种编码形式替换为对应的安全字符。这种做法可以防止攻击者利用这些字符注入恶意脚本。
  3. 防御策略的全面性: 防御 XSS 攻击不仅仅是过滤和替换输入,还包括在输出时进行适当的编码和转义。在不同的上下文中(如 HTML、JavaScript、URL 等),需要使用不同的编码方法,以确保输出内容是安全的。
  4. 使用成熟的库和框架: 尽管自定义的过滤函数可以解决部分问题,但使用成熟的、安全的库和框架(如 OWASP 提供的库)往往更加可靠。这些库经过广泛测试,并包含了应对各种复杂攻击手段的策略。
  5. 不断更新和审计: 安全是一个不断变化的领域,新型攻击手段不断涌现。开发人员应定期更新和审计代码,确保其防御策略能够应对最新的安全威胁。

总之,防御 XSS 攻击需要从多个角度进行考虑和处理,包括输入过滤、输出编码以及使用可靠的安全库和框架。通过多层次的防御策略,可以有效地提高应用程序的安全性。

代码的防护jsjiami在线js加密解密工具

怎么隐藏你的xss保护逻辑呢,使用在线js加解密工具对代码进行保护。

mxd01848
关注
  • 25
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过服务器集成在客户端进行加密解密,该如何进行?
04-07
本文将深入探讨如何在服务器集成环境中实现在客户端进行数据的加密解密,以及相关的JavaScript安全和LocalStorage的应用。 首先,理解“客户端加密”意味着数据在用户的设备(如浏览器)上进行加密,而不是在...
javascript加密
01-01
JavaScript加密是一种常见的安全措施,用于保护网页应用中的敏感数据,如API密钥、用户密码、商业逻辑等,防止被恶意用户或竞争对手分析和利用。在本文中,我们将深入探讨JavaScript加密的各种方法、技术和最佳实践...
防止xss和sql注入:JS特殊字符过滤正则
lyxkgc的博客
09-16 1359
防止xss和sql注入:JS特殊字符过滤正则
JS加密/解密之你是否真的明白xss
mxd01848的博客
11-09 6784
摘要:跨站脚本攻击(XSS)是当前Web应用程序中最常见的安全威胁之一。本文通过综合分析XSS攻击的原理和特点,提出了一系列全面的防御策略,包括输入验证和过滤、输出编码以及Content Security Policy(CSP)的应用。同时,通过代码案例演示了如何有效实施这些防御策略,以提高Web应用程序的安全性。
vue AES加密 防止xss攻击
weixin_41901270的博客
06-23 320
vue AES加密 防止xss攻击 为防止用户账户 密码和敏感信息的泄露,在用户登录系统或提交表单时进行信息加密 第一步:首先安装加密依赖 npm install crypto-js --save-dev or 淘宝镜像安装 cnpm install crypto-js --save-dev 第二步:再新建security.js文件 /** * AES加密文件 * **/ var CryptoJS = require("crypto-js"); const secretKey ='keychange0@
2021/12/9 xss跨站绕过及修复
weixin_44532761的博客
12-09 907
小迪 https://www.bilibili.com/video/BV1Jb4y1d7hW?p=28 参考笔记https://www.yuque.com/weiker/xiaodi/nqcvum https://xssfuzzer.com/fuzzer.html https://gitee.com/yhtmxl/imxss/ https://github.com/3xp10it/xwaf https://github.com/s0md3v/XSStrike https://bbs.pediy.com/t
Cookies在XSS和CSRF防御中的作用
Wang的专栏
06-08 428
nodejs响应中设置加密后cookies信息。1 ) 通过cookie存储用户签名。nodejs请求中验证用户凭证。nodejs中处理用户凭证。用户ID+签名(推荐)
如何防御xss工具和数据篡改
lg491733638
04-11 220
防御xss攻击和数据篡改
网络面试知识点
Moonoly的博客
03-01 1596
针对网络知识面试点的整理,包括http、https协议,网络安全,负载均衡等知识点。
xss(跨站攻击)
m0_74456293的博客
03-20 2527
xss(跨站攻击)
xss漏洞总结
m0_61786761的博客
08-04 532
选择一个xss平台->选择想要的功能生产语句->进行xss攻击得到cookie->用postman工具登录。7.shell箱子反杀:在密码中插入xss,获取箱子后台管理页的cookie->用postman连接。session:会话,存储在服务器,存活时间段,大型网站使用,无法xss盗取。存储型:x=xiaodi->x.php->写入数据库->x.php->回显。dom型:x=xiaodi->本地浏览器静态前端代码->x.php。反射型:x=xiaodi->x.php->回包。6.结合其他漏洞绕过。...
spring(tomcat)前后端数据加密传输demo
04-22
9. **安全最佳实践**: 除了数据加密,该项目还可能涉及其他安全实践,如CSRF防护、XSS防护、SQL注入防御等。Spring Security提供了许多开箱即用的安全功能,可以帮助开发者遵循这些最佳实践。 10. **项目结构**: ...
网页加密-防止源码被偷
12-08
总的来说,"网页加密-防止源码被偷"是一个多层面的防御体系,涵盖了混淆、编码转换、传输加密等多种技术。对于开发者来说,理解这些方法并合理运用,能有效提升网站的安全水平。而"wfHtmlEncode"这样的工具,则是...
fortress.js
03-16
总的来说,Fortress.js 是一个全面的JavaScript安全框架,旨在通过一系列的防御措施,保护Web应用免受各种攻击。开发者可以利用这个库来增强他们的应用安全,减少因安全漏洞带来的潜在损失,同时提高用户对应用的...
jQuery 选择前、后、父元素进行操作
qq_30049249的博客
06-25 574
https://andi.cn/page/621465.html
vue elementui简易侧拉栏的使用
han_xiao_xiao的博客
06-26 352
vue简易侧拉栏的使用
uniApp vue2 vue3配置代理
最新发布
小白变怪兽
06-28 289
【代码】uniApp vue2 vue3配置代理。
Nuxt 应用的三种运行模式(五)
qq_35876316的博客
06-26 533
SPA 模式是最常见的 Web 应用模式,整个应用在加载完成后,用户的操作不会引发页面跳转,而是通过 JavaScript 动态更新页面内容。
http://xss.tesla-space.com/
07-27
对于提供的链接http://xss.tesla-space.com/,根据引用\[2\]中的解释,这是一个可能存在跨站脚本(XSS)漏洞的网站。XSS攻击是指攻击者向web页面的输入表单、URL或留言板等位置插入恶意JavaScript代码,以达到攻击者的目的。\[2\]根据引用\[1\]的描述,XSS攻击可以导致攻击者获取用户的cookies,从而以用户的身份进行任何操作。因此,如果该网站存在XSS漏洞,攻击者可能会利用这个漏洞来获取用户的敏感信息。 请注意,XSS攻击是一种违法行为,严禁进行任何未经授权的攻击行为。如果您发现了该网站存在XSS漏洞,建议您立即向网站管理员报告,以便他们采取相应的措施来修复漏洞。 #### 引用[.reference_title] - *1* *2* *3* [从xss挑战之旅来重读xss(一)](https://blog.csdn.net/wy_97/article/details/102968400)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值