express -e ./ npm install npm start <%- xx %> <%= xx %> 反射性:存在url中 自动触发: img 中 onerror localhost:3000/?xss=<img src="null" οnerrοr="alert(111111)"/> 引诱触发: localhost:3000/?xss=<iframe src="//baidu.com"></iframe 植入广告 localhost:3000/?xss=<p οnclick="alert(1111)">hello</p> 存储型: sql,操作数据库 防范错误: 1.编码 对用户输入的内容进行的 HTML Entity 编码 字符: 转译字符 " " & & < < > >: 不断开的空格 2.过滤 移除用户上传的DOM属性,如onerror等 移除用户的上传的Style节点,Script节点,iframe节点等 3.校正 避免直接 HTML Entity 解码 使用DOM Parse转换,校正不配对的DOM标签 DomParse : https://github.com/blowsie/Pure-JavaScript-HTML5-Parser encode.js : https://github.com/mathiasbynens/he
XSS攻击防护
最新推荐文章于 2024-07-31 15:36:49 发布