进行 XSS 攻击 和 如何防御

最新推荐文章于 2024-07-24 10:40:52 发布
最新推荐文章于 2024-07-24 10:40:52 发布
阅读量306 收藏
点赞数
分类专栏: JavaScript 文章标签: 前端 javascript 安全 跨站攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33003143/article/details/133283497
版权
本文详细解释了跨站脚本攻击的工作原理,涉及恶意脚本注入、浏览器保护机制、利用标签的攻击方式,以及如何通过清理用户输入和使用安全的第三方库来防止XSS。重点介绍了在存储和渲染用户生成内容时的防范策略。
摘要由CSDN通过智能技术生成

跨站脚本攻击(XSS 攻击)是 Web 开发中最危险的攻击之一。以下是它们的工作原理以及防御方法。

XSS 攻击

跨站脚本攻击就是在另一个用户的计算机上运行带有恶意的 JS 代码。假如我们的程序没有对这些恶意的脚本进行防御的话,他们就会由我们的页面注入到我们的服务器数据库中,从而其他用户在访问我们的网站是就会收到这些脚本的攻击。接下来我们来看看这些恶意代码是何时注入的。

XSS 攻击的例子

首先我们先看一下如下的代码:

<section id="user-input">
  <form>
    <div class="form-control">
      <label for="user-message">Your Message</label>
      <textarea id="user-message" name="user-message"></textarea>
    </div>
    <div class="form-control">
      <label for="message-image">Message Image</label>
      <input type="text" id="message-image" name="message-image" />
    </div>
    <button type="submit">Send Message</button>
  </form>
</section>
<section id="user-messages">
  <ul></ul>
</section>

// 提交表单数据后渲染对应的数据
function renderMessages() {
  let messageItems = "";
  for (const message of userMessages) {
    messageItems = `
      ${messageItems}
      <li class="message-item">
        <div class="message-image">
          <img src="${message.image}" alt="${message.text}">
        </div>
        <p>${message.text}</p>
      </li>
    `;
  }

  userMessagesList.innerHTML = messageItems;
}

上述例子中我们只是采用了静态页面来呈现XSS攻击,即没有服务器的支持,所以我们只能自己攻击自己。

上述的例子中我们可以看到用户当表单添加消息后最终使用innerHtml进行页面元素的渲染。这样我们的页面最后渲染出的<li></li>元素里面会包含图片和其他一些文本数据。

现在我们设想一下,假如我们在textarea中输入如下的代码:

在这里插入图片描述
并且提交表单数据后,我们提交表单数据后,我们可以查看一下页面的列表元素:
在这里插入图片描述

我们可以看到页面没有报错和任何任何报警,所以注入的脚本代码实际上并没有执行。因为现代浏览器可以保护您免受这种非常基本形式的 XSS 攻击。通过 innerHTML“注入”的<script>元素不会被浏览器执行!

所以上述的注入攻击只是针对于低版本的浏览器。

我们还可以滥用 <img>src属性设置为某些用户输入的注入攻击。因为上述的图片渲染是通过简单的字符串进行渲染的。

<img src="${message.image}" alt="${message.text}">

如果我们操纵 message.image 使其实际上完全改变要渲染的元素会怎么样?不仅仅是它的 src。

用户可以在表单(图像 URL)中输入以下内容来实现此目的:
在这里插入图片描述

这可能看起来很奇怪,但这最终导致该字符串通过innerHTML输出的值如下:
在这里插入图片描述

这样当表单提交后,我们的注入代码被运行啦,因为整个<img />被称作啦。攻击者将图像 src 设置为无效 URL,这将导致加载失败!通过设置 onerror<img> 的有效属性!),我们可以定义在图像加载失败时执行的 JavaScript 代码。因此,我们强制图像加载失败,并通过为恶意代码设置 onerror 来提供“补救措施”。

通过上述的例子可以看到,我们只是在本地进行攻击,因为数据库没有提交到服务器中,所以我们模拟的只是攻击自己。假如我们把上述的数据提交到服务器的话,就会形成跨站攻击。并且注入的 JavaScript 代码可以执行任何操作,例如窃取身份验证令牌。

如何保护我们的应用程序

预防跨站攻击,我们有一条简单但重要的原则:在存储和提供用户生成的内容之前始终对齐进行清理。

“清理内容”意味着您想要删除用户生成的内容中可能存在的所有恶意部分。清理不仅有助于防止 XSS,还有助于防止 SQL 和 NoSQL 注入。

我们应该只将清理过的内容存储在数据库中。通过这样做,您将确保只向用户提供安全内容。

此外,您还可以研究客户端 JavaScript 代码中的转义内容。 这意味着除了后端的清理步骤之外,您还需要在前端进行清理步骤。现代的框架(Angular、React、Vue)都带有转义功能。

**说明:**客户端转义只是一个额外的好处 - 您实际上应该只在数据库中存储安全内容!

跨站攻击的另一个来源

跨站攻击的另一个来源就是第三方库。因为在现代客户端应用程序中,我们通常会使用大量第三方库。从 Angular 这样的框架到 lodash 这样的实用程序库。这些库中包含的代码也作为客户端代码的一部分运行。假如这些苦收到第三方恶意攻击或者删除核心代,可能都会导致我们的应用程序存在很多风险。

所以我们尽量少使用第三方库或者挑选一些更大、更流行且维护良好的库。

完整实例代码下载

完整实例代码下载

林中白虎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击防御
Libra_Ng
11-06 295
XSS攻击分类 存储型XSS 持久性:攻击者把攻击代码永久存储在目标服务器(多见于论坛,留言板等).危害性最大,影响面最广. 反射型XSS 非持久性:攻击脚本嵌入到某个URL链接,诱骗客户端点击而触发执行. DOM型XSS 通过前端脚本修改页面的DOM节点形成的XSS,不与服务器进行交互. XSS攻击过程 存储型XSS攻击过程 反射型XSS攻击过程 DOM型XS攻击过程 三者区别: ...
关于XSS攻击及其防御
Wang的专栏
06-04 3788
【代码】关于XSS攻击及其防御
XSS攻击防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS攻击原理和防御措施
程序媛的梦工厂
03-31 2317
跨站脚本攻击:它值得是恶意攻击者往web页面里插入恶意的html代码,当用户浏览该页时,嵌入web页面的html就会被执行,从而达到恶意用户的特殊目的。 XSS攻击的原理 1、黑客对含有漏洞的服务器发起XSS攻击; 2、诱使用户打开收到攻击的服务器URL; 3、用户在浏览器中打开URL,恶意代码执行。 XSS的类型 持久型:也叫“存储型XSS”,只要是将XSS代码发送到服务器,所以在下一次请求页...
深入理解XSS攻击防御
Jeffrey20170812的博客
11-05 1042
深入理解XSS攻击防御What is XSSXSS攻击的类型XSS攻击原理XSS攻击危害XSS攻击方法How to defense XSS防御原则:永远不要相信用户的输入。防御措施部分参考资料总结 What is XSS 首先可以先看一段英文原文介绍: Cross-site scripting (XSS) is a type of injection security attack in whi...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 5069
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
XSS 攻击防御
qq_42646885的博客
08-05 493
XSS(Cross Site Scripting) XSS,全称Cross Site Scripting,即跨站脚本攻击,也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在浏览器上运行。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。还有一种特殊的基于DOM的XSS(DOM Based XSS) 1、反射型XSS 又称为非持...
正确采取Xss攻击防御措施
zollty的专栏
01-13 2146
灵魂拷问:到底怎么做防XSS攻击才是最佳方案?网上那些拦截器方案靠谱吗? Xss攻击说明: 1、攻击者准备 恶意html/javascript代码片段,该代码最终会被嵌入到被攻击服务器加载的页面上。 2、恶意html/js代码,在用户不知情的情况下被执行,以该登录用户的身份执行敏感操作或获取敏感数据后发送给攻击者。 举例如下: 有个文章编辑页面,可以编写任意html/js代码。攻击者在里面嵌入了恶意js。 文章被提交保存后,下次显示出来时,执行该恶意js,从而获...
Web安全——XSS攻击以及防御
mapbar_front的博客
06-13 1367
XSS跨站脚本攻击XSS——Cross site scripting 这是最常见的一种web安全问题。引起这种问题的原因是什么呢?主要是由于不合理的数据引起的。 &amp;amp;amp;lt;div&amp;amp;amp;gt; { content } &amp;amp;amp;lt;/div&amp;amp;amp;gt; 一般这样的页面结构,我们的页面解析出来的期望是这样的。 &amp;amp;amp;lt;div&amp;
XSS攻击防御
dzqxwzoe的博客
01-14 202
Cross Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。通过这些恶意的脚本,攻击者可获取用户的敏感信息如:Cookie、Session等。Cross Site Scripting 的英文首字母缩写应为 CSS,但是因为其和我们的样式语法 CSS(Cascading Style Sheets)一样,所以将 CSS 改成 XSS
8、XSS 攻击防御pdf资料
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Web安全XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 474
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 1003
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
TS如何处理js模块的类型?
最新发布
闻人放歌的三寸青草园圃
07-24 92
【代码】TS如何处理js模块的类型?
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 950
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
基于 Gunicorn、Flask 和 Docker 的 Web 应用开发
2401_85639015的博客
07-19 1587
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中。容器可以运行在任何支持 Docker 的机器上,确保了环境的一致性。通过本教程,你将学会如何使用 Docker、Gunicorn 和 Flask 构建一个高效、可扩展的 Web 应用。每个步骤都提供了详细的指导和示例代码,确保你能够理解和实践每个环节。希望本教程能够作为你进入微服务架构领域的起点。
pdf xss攻击 如何防御
07-27
PDF XSS攻击是指通过在PDF文档中插入恶意代码来攻击用户的...总而言之,通过使用安全的解析器和过滤器、验证和过滤上传的PDF文件、更新软件补丁、使用沙盒技术以及提高用户意识和警惕性,可以有效地防御PDF XSS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值