被注入js脚本的xss的解决方法

最新推荐文章于 2024-06-27 07:00:00 发布
最新推荐文章于 2024-06-27 07:00:00 发布
阅读量4.3k 收藏 1
点赞数
分类专栏: web前端技术 安全 文章标签: 脚本 javascript xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18832439/article/details/54314265
版权

acelan的解决方法

// acelan fix xss
// 20170110 假红包注入事件
function encodeHTML(source) {
    return String(source)
        .replace(/&/g, '&')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;')
        .replace(/"/g, "&quot;")
        .replace(/'/g, "&#39;");
}

自己的解决方法
 stripTag: function (params) {
                return document.createElement('del').appendChild(document.createTextNode(params)).parentNode.innerHTML;
            },

            // by acelan,紧急过滤掉黑名单中的标签,不严谨的做法,作为富文本应该使用白名单方式
// 当前过滤的标签为script img style link iframe
//
// var blacklist = 'script img style link iframe'.split(' ').join('|');
// var re = new RegExp('<(' + blacklist +')>(.*)<\/(' + blacklist + ')>|<(' + blacklist +') [^/]*/>|<(' + blacklist +') [^>]*>', 'gi');
富文本处理方法
richtext: function(data) {
// by acelan,紧急过滤掉黑名单中的标签,不严谨的做法,作为富文本应该使用白名单方式
// 当前过滤的标签为script img style link iframe
//
// var blacklist = 'script img style link iframe'.split(' ').join('|');
// var re = new RegExp('<(' + blacklist +')>(.*)<\/(' + blacklist + ')>|<(' + blacklist +') [^/]*/>|<(' + blacklist +') [^>]*>', 'gi');

function remove(tn, root) {
    var tmp = Array.prototype.slice.call(root.getElementsByTagName(tn), 0)
    for (var i = 0, len = tmp.length; i < len; i++) {
        tmp[i].parentNode.removeChild(tmp[i])
    }
}

function escape(html) {
    var div = document.createElement('div')
    var blacklist = 'script img style link iframe input button'.split(' ')
    div.innerHTML = html
    for (var i = 0, len = blacklist.length; i < len; i++) {
        remove(blacklist[i], div)
    }
    return div.innerHTML
}

var html = data.content;

try {
    html = escape(html)
} catch (e) {}

var tpl = [
    '<div class="control-content">',
    // 这里不能直接对data.content toLowerCase, 所以上面要加上大写验证
    '<div class="richtext ke-edit" name="content">' + html + '</div>',
    '</div>'
];
return tpl.join("");
            },
_panda_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
Java如何防止JS脚本注入代码实例
10-14
以上工具类和方法结合起来,可以有效地减少Java Web应用程序遭受JS脚本注入的风险。然而,防止XSS攻击并不是一件简单的事,开发者应该持续关注安全漏洞报告,不断更新防护策略,并结合其他安全措施(如内容安全策略...
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
12.xssjs输出
最新发布
愿听风成曲
06-27 272
根据上面的代码编辑攻击代码,将前端代码中的script闭合,后面的script进行做攻击代码即可。将编辑好的代码直接输入提交,会直接弹出xss界面。接下来将这段代码复制出来进行编辑攻击代码。输入1111之后能看到心中所爱。
xss.js处理网页xss攻击
weixin_30710457的博客
08-02 1598
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>xss.js处理网页xss攻击</title> <style type="text/css"> </style> &l...
XSS注入,js脚本注入后台
weixin_33831196的博客
09-24 568
曾经一度流行sql注入,由于现在技术的更新,已经看不到这问题了,但是又出来新的安全问题,XSS攻击,他的原理就是在前端提交表单的时候,在input标签当中输入js脚本,通过js脚本注入后台,请看下图. 这里用用原生servlet做说明,帮助大家理解。 以下是我项目的路径 ...
js 前端处理xss攻击,对危险的字符串进行过滤
PrimaryColor
04-01 6129
es6: npm install xss --save 这里测试使用的是es5,下载链接: https://download.csdn.net/download/qq_42740797/16291859 https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js(过滤的比较严重,将html的所有属性都给过滤了) 调用函数: function filterXSS(string) html: <!.
# 防止xss攻击,过滤script标签,获取出标签外的内容
weixin_30394633的博客
03-06 984
from bs4 import BeautifulSoups = '<h1>123</h1> <span>456<span>'soup = BeautifulSoup(s,'html.parser')print(soup.text) # 结果 123 456 # 构建摘要数据,获取标签字符串的文本前150个符号 soup=Bea...
防止xss和sql注入:JS特殊字符过滤正则
12-01
这些字符在JavaScript中可能具有特殊的含义或者可以被用来构造恶意脚本。 函数通过循环遍历输入字符串`s`的每一个字符,然后使用`replace()`方法配合正则表达式将匹配到的特殊字符替换为空字符串。这样处理后的字符...
预防XSS攻击和SQL注入XssFilter
05-19
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
XSS跨站脚本攻击在Java开发中防范的方法
01-09
### XSS跨站脚本攻击在Java开发中的防范方法 #### XSS攻击原理与分类 XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
在Yii框架中,防止SQL注入XSS攻击和CSRF攻击是保障Web应用安全的重要环节。接下来将详细说明Yii框架在这些方面的防范策略和措施。 首先,对于SQL注入的防护,Yii框架通过多种手段来确保数据的安全性。例如,可以...
js定义变量 页面使用_JS变异小技巧:使用JavaScript全局变量绕过XSS过滤器
weixin_39522170的博客
12-03 124
什么是JavaScript全局变量?JavaScript全局变量在函数外部声明或使用window对象声明,它可以通过任何函数访问。 假设你的目标Web应用程序容易受到映射到JavaScript字符串或JavaScript函数中的XSS的攻。例如,下面的PHP脚本:echo "<script> var message = 'Hello ".$_GET["name"]."'; ...
XSS漏洞之js脚本攻击
Decadent丶沉沦の博客
09-29 1759
XSS攻击之对前端脚本做校验
xss跨站脚本过滤
u011697091的博客
03-05 2581
自定义XssRequestWrapper集成HttpServletRequestWrapper package com.workflow.base.filter; import org.apache.commons.lang.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.http.HttpServletRequest; import javax.servlet.
XSS注入漏洞解决方法(高风险)
weixin_43922510的博客
08-15 1万+
漏洞描述 攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 漏洞验证 通过在页面中的留言板,提交框,录入信息框等能够提交参数的地方,尝试注入相关xss代码测试,能够成功执行对应代码功能则存在问题,可能造成流量劫持,篡改、删除页面信息,获取用户cookie信息,盗取账号等不良影响。 修复建议 过滤输入的数...
xss之盲打、过滤、htmlspecialchars、herf输出、js输出
weixin_51446936的博客
06-02 1805
一、XSS之盲打 1.盲打概述 “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下,网站采用了攻击者插入了带真实攻击功能的xss攻击代码(通常是使用script标签引入远程的js)的数据。当未知后台在展现时没有对这些提交的数据进行过滤,那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能”。 也就是只有从后台才能看到前端输入的内容,从前端无法判断是否存在xss 2.实验演示 第一步:打开pikachu的xss盲打,随便输入信息 第二步:模拟后台管理员,登录后台进行查看(右上角
前端XSS攻击场景与Vue.js处理XSS方法:vue-xss
zhangzuying的博客
12-21 4296
在前端开发中,跨站脚本攻击(XSS)是一种常见的安全威胁。本文将介绍前端跨站脚本攻击(XSS)的场景以及在Vue.js框架中如何处理XSS方法。通过了解这些内容,我们可以更好地保护前端应用程序的安全性,防止恶意攻击。一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击。
XSS(跨站脚本***) 逃避过滤
weixin_34077371的博客
12-28 178
XSS(跨站脚本***) 备忘录 逃避过滤 出处:http://ha.ckers.org/xss.html 作者:RSnake 翻译:帝释天 如果你不知道如何进行XSS***,那么本文或许对你没有任何帮助。这里主要针对已经对基本的XSS***有所了解而想更加深入地理解关于绕过过滤的细节问题的读者。文中不会告诉你如何降低XSS的影响或者怎么去编写一些实际的***代...
XSS注入全解析:原理、危害与验证方法
XSS主要利用JavaScriptJS)的执行特性进行恶意攻击,因为浏览器能够解析并执行来自网页的JS代码。 第一部分介绍了XSS漏洞的基础概念。XSS通常发生在服务器端,如微博、留言板、聊天室等用户输入数据的地方。当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值