前端修复xss漏洞的一种思路---动态修改URL,获取URL参数值和动态修改URL参数值

最新推荐文章于 2024-05-18 18:30:00 发布
最新推荐文章于 2024-05-18 18:30:00 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/parade0393/article/details/102798666
版权

先说一下需求:

我们负责的网站被检测出来了xss漏洞,例如用户输入

http://www.xxxxx.cn/question.do?id=62><img%20src=1%20onerror=alert(1)><aaa="bad

会在页面出现alert(1)弹出框,并且传到后台的参数也是非法的。

于是就想到了利用js动态修改参数后再传到后台,这样既解决了前台弹出框的问题,又解决了后台接收非法参数的问题。

  1. 获取参数值—要想动态修改参数,首先要获取url中的参数,js函数如下(从菜鸟教程抄的)

    function GetQueryString(name)
{
    var query = window.location.search.substring(1);
       var vars = query.split("&");
       for (var i=0;i<vars.length;i++) {
               var pair = vars[i].split("=");
               if(pair[0] == name){return pair[1];}
       }
       return(false);
};

  2. 修改参数值—由于本例子参数比较固定,及时id=12这样的,参数值永远是数字,所以只需要根据正则匹配参数值第一个非数字的位置,然后截取参数值,从而动态修改url

    根据正则查找字符串中第一个匹配规则的索引,需要用到字符串的search方法

    var userIdVal=GetQueryString("id");//获取参数值
console.log(userIdVal);
var index = userIdVal.search(/\D/);//查找参数值第一个非数字的索引
console.log(index);

  3. 修改URL

    function replaceParamVal(paramName,replaceWith) {
    var oUrl = this.location.href.toString();
    var re=eval('/('+ paramName+'=)([^&]*)/gi');
    var nUrl = oUrl.replace(re,paramName+'='+replaceWith);
    this.location = nUrl;
  window.location.href=nUrl
}

最后完整代码如下

function GetQueryString(name)
{
    var query = window.location.search.substring(1);
       var vars = query.split("&");
       for (var i=0;i<vars.length;i++) {
               var pair = vars[i].split("=");
               if(pair[0] == name){return pair[1];}
       }
       return(false);
};

function replaceParamVal(paramName,replaceWith) {
    var oUrl = this.location.href.toString();
    var re=eval('/('+ paramName+'=)([^&]*)/gi');
    var nUrl = oUrl.replace(re,paramName+'='+replaceWith);
    this.location = nUrl;
  window.location.href=nUrl
}

var userIdVal=GetQueryString("id");
console.log(userIdVal);
var index = userIdVal.search(/\D/);
console.log(index);
if(index != -1){
	replaceParamVal('id',userIdVal.substring(0,index))
}
parade岁月
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨站脚本
rita_rweb的博客
09-13 997
XSS(跨站脚本) XSS一种发生在前端浏览器端的漏洞,危害对象也是前端用户,形成XSS漏洞的主要原因是程序对输入输没有做合适的处理,导致精心构造的字符输前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上一般会采用“对输入进行过滤”和“输进行转义”的方式进行处理。 输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入。 输转义:根据输点的位置对输前端的额呢绒进行适当转义。 反射性xss(get) 随意输入字符串,回显who is xxx,i don’t
代码审计--源代码审计思路
01-27
代码审计是确保软件安全的...逆向回溯和正向审计相结合,加上对业务逻辑的深入剖析,才能有效地发现和修复代码中的安全漏洞。在实际操作中,审计者需关注数据流、验证机制和用户交互点,以确保代码的安全性和健壮性。
【JS篇】web前端代码安全总结
章魚尐芄子的博客
08-04 1353
web前端代码安全漏洞总结:避免动态代码赋值,evil替代方法
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS跨站脚本攻击漏洞修复技巧
最新发布
2401_84208172的博客
05-18 987
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复
xss漏洞原因以及如何应对
风烟
01-26 9042
场景一:获取URL参数含有脚本执行 比如我们需要获取URL中某个参数,然后输到页面当中 比如链接是http://xxx?search="><script>alert('xss')</script>这种,我们解析search参数拼接html的之后直接用了这个参数,这个时候浏览器不知道是恶意代码,直接就执行了, <div> xxx: "><script>alert('xss')</script> </div> 这
渗透测试笔记(五)——XSS跨站脚本攻击
m0_67044952的博客
06-12 977
XSS:Cross Site Scripting(跨站脚本)为了避免与CSS混淆,所以简称XSSXSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到Web页面中去,使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。XSS攻击的危害盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号控制企业数据,包括读取、篡、添加、删除企业敏感数据的能力盗窃企业重要的具有商业价值的资料非法转账
xss-lab全通关教程
05-07
XSS(Cross-Site Scripting)实验室全通关教程是一份深度学习和实践XSS漏洞攻防的宝贵资源。XSS一种常见的网络安全...通过深入学习和实践,你可以掌握如何检测、预防和修复XSS漏洞,提升你在网络安全领域的专业素养。
Web-安全渗透全套教程XSS跨.zip
05-22
7. 应急响应和修复:讲解发现XSS漏洞后,如何及时修补,防止攻击发生。 视频"Web-安全渗透全套教程XSS跨.mp4"很可能是该教程的主要教学内容,涵盖上述各个知识点,通过实战演示和讲解,帮助学习者掌握XSS攻防的核心...
xss-vuln学习通关总结
08-24
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,主要表现为黑客通过注入恶意脚本到网页中,从而在用户浏览网页时控制用户的浏览器。这种攻击最初因为涉及跨域而得名,但随着JavaScript的...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
总之,PDF文件的XSS攻击是一种非典型的XSS形式,但同样需要重视。通过在SpringBoot应用中配置XSSFilter并结合其他安全措施,可以有效防止此类攻击,保护用户的浏览器环境不受侵害。同时,定期更新安全知识,对新的...
前端安全系列:如何防止XSS攻击?
琦彦
01-25 5027
前端安全  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这...
XSS漏洞利用手段/篡链接实战/beef生成恶意网页
ChenD的学习笔记
10-10 1183
XSS网页链接,beef生成恶意脚本,搭建恶意网页,劫持目标主机
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2796
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
互联网安全架构平台设计之预防XSS攻击
李永志的博客
01-20 4025
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序,是最常见的安全漏洞。 一、什么是XSS攻击? XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不
常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
Lyrelion的博客
11-26 2260
常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
js 动态修改浏览器地址urlurl里的参数
weixin_33856370的博客
09-29 893
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat8怎么解决X-XSS-Protection,X-Content-Type-Options漏洞
12-07
根据提供的引用内容,X-XSS-Protection和X-Content-Type-Options都是用来防范XSS攻击的响应头。其中,X-XSS-Protection可以关闭或启用XSS保护,而X-Content-Type-Options可以防止浏览器将响应内容解释为MIME类型不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值