前端安全系列(一):如何防止XSS攻击?

最新推荐文章于 2023-08-08 09:15:42 发布
最新推荐文章于 2023-08-08 09:15:42 发布
阅读量234 收藏 1
点赞数
文章标签: xss 攻击 HTML
php 同时被 3 个专栏收录
41 篇文章 0 订阅
订阅专栏
html
26 篇文章 0 订阅
订阅专栏
经验
16 篇文章 0 订阅
订阅专栏

简介

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。

XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。

XSS 攻击有两大要素

  1. 攻击者提交恶意代码。
  2. 浏览器执行恶意代码。

预防

  • 利用模板引擎 开启模板引擎自带的 HTML 转义功能。例如: 在 ejs 中,尽量使用 <%= data %> 而不是 <%- data %>; 在 doT.js 中,尽量使用 {{! data } 而不是 {{= data }; 在 FreeMarker 中,确保引擎版本高于 2.3.24,并且选择正确的 freemarker.core.OutputFormat
  • 避免内联事件 尽量不要使用 onLoad="onload('{{data}}')"onClick="go('{{action}}')" 这种拼接内联事件的写法。在 JavaScript 中通过 .addEventlistener() 事件绑定会更安全。
  • 避免拼接 HTML 前端采用拼接 HTML 的方法比较危险,如果框架允许,使用 createElementsetAttribute 之类的方法实现。或者采用比较成熟的渲染框架,如 Vue/React 等。
  • 时刻保持警惕 在插入位置为 DOM 属性、链接等位置时,要打起精神,严加防范。
  • 增加攻击难度,降低攻击后果 通过 CSP、输入长度配置、接口安全措施等方法,增加攻击的难度,降低攻击的后果。
  • 主动检测和发现 可使用 XSS 攻击字符串和自动扫描工具寻找潜在的 XSS 漏洞。

 

 

 

前端安全系列(一):如何防止XSS攻击?

qq_27084325
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞攻守之道
坏蛋呆呆的博客
04-28 2437
1.1 什么是XSS漏洞 跨站脚本攻击(Cross Site Script,为了不和css混淆,故将其缩写为XSS)通常发生在客户端,攻击者在Web页面中插入恶意的JavaScript代码(包括VBScript和ActionScript代码等),用户浏览此页面时,会执行这些恶意代码,从而使用户受到攻击。本质:是一种HTML的注入,恶意代码数据当成了HTML代码的一部分被执行。 1.2 XSS攻击形式 DOM跨站攻击攻击者在为规范JavaScript的HTML页面中插...
前端安全系列:如何防止XSS攻击
01-27
总结来说,XSS攻击是一种严重威胁前端安全的问题,需要开发者结合后端和前端的防护手段进行防御。理解XSS攻击的原理,正确处理用户输入,启用现代浏览器的安全特性,并持续进行安全审计和更新,是确保应用程序安全的...
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1402
防止xss存储型攻击
【网络安全防止XSS注入的方法
Xuetao_Shen的博客
03-22 2610
关于防止XSS注入: 1.尽量使用框架。通过对自己的网页进行xss保留型攻击的测试,尽管自己没有对某些输入框进入转义,但还是无法进行xss注入,因为框架会自动将某些特殊字符转义。(我使用的spring+struts+hibernate框架)。 2.如果不使用框架,一定要进行字符转义。对< 、> 、" 、 等字符进行转义成为:&lt; 、&gt; 、...
vue AES加密 防止xss攻击
weixin_41901270的博客
06-23 323
vue AES加密 防止xss攻击防止用户账户 密码和敏感信息的泄露,在用户登录系统或提交表单时进行信息加密 第一步:首先安装加密依赖 npm install crypto-js --save-dev or 淘宝镜像安装 cnpm install crypto-js --save-dev 第二步:再新建security.js文件 /** * AES加密文件 * **/ var CryptoJS = require("crypto-js"); const secretKey ='keychange0@
前端安全:如何防止CSRF攻击
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
前端开源库-xss-filters
08-29
"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是提供安全XSS过滤器,帮助开发者有效地防止XSS攻击。 这个库的核心功能是提供一系列的输出过滤机制,这些过滤器能够识别并清除或转义可能...
防止xss和sql注入:JS特殊字符过滤正则
10-27
为了防止XSS攻击,我们需要对用户输入进行净化,过滤掉可能导致脚本执行的特殊字符。 接着,我们来看SQL注入。SQL注入是攻击者通过在输入数据中插入恶意SQL语句,使得数据库执行非预期的操作,可能泄露敏感数据或...
如何防止XSS攻击
最新发布
qq_32907491的博客
08-08 333
XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;防XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当中的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
前端安全XSS攻击的分类、XSS攻击的预防
csdssdn的博客
04-13 1595
目录 什么是XSS XSS分类 存储型XSS 存储型XSS攻击步骤: 反射型XSS 反射型XSS攻击步骤: DOM型XSS DOM型XSS攻击步骤: XSS攻击的预防 输入过滤 预防存储型和反射型XSS攻击前端渲染 转义HTML XSS攻击的总结 以下原则减少漏洞的产生: 利用模板引擎: 避色内联重件 避免拼接HTML 时刻保持警惕 主动检测和发现 什么是XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是-种代码注.
freemarker默认escape html 防范xss
weixin_33757911的博客
10-15 731
为什么80%的码农都做不了架构师?>>> ...
关于FREEMARKER的一些总结
洋葱水墨
07-27 2043
问题代码: ${student.birthday},STUDENT中BIRTHDAY为DATE类型的 问题:13:03:09.735 ERROR freemarker.runtime - Can't convert the date to string, because it is not known which parts of the date variable are in use.
freemarkerfreemarker常规配置
Meditation_Crazy
06-16 686
前言 在哪找的记不得了,然后再加上自己慢慢整理的 # freemarker模板引擎 spring.freemarker.allow-request-override=true spring.freemarker.allow-session-override=true spring.freemarker.cache=false spring.freemarker.check-template-location=true spring.freemarker.charset=UTF-8 spring.free.
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
FreeMarker 自动转义和格式化HTML和XML输出,预防xss
weixin_33766805的博客
08-09 1412
为什么80%的码农都做不了架构师?>>> ...
WEB安全(十五)如何防止XSS攻击
jinyangjie的博客
02-17 5637
一、什么是XSS攻击 **XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。**XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 二、防止XSS攻击 1、X-XSS-Protection设置 目前该属性被所有的主流浏览器默认开启XSS保护。该参数是设置在响应头中目的是用来防范XSS攻击的。它有如下几种配置
在 Axios 请求拦截器中进行 XSS 过滤
weixin_43507141的博客
03-21 708
xss
Web前端黑客攻防全揭秘: XSS、CSRF与界面劫持
书中涉及的知识点不仅包括如何检测和防止XSS攻击,即恶意脚本通过网页注入用户的浏览器从而获取敏感信息,还包括防范CSRF攻击防止未经授权的请求被伪造。此外,书中还讨论了如何确保Cookie的安全防止它们被篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值