前端安全: 如何防止 XSS 攻击?

最新推荐文章于 2023-01-27 22:36:08 发布
最新推荐文章于 2023-01-27 22:36:08 发布
阅读量4.1k 收藏 9
点赞数 1
分类专栏: 前端从看懂到看开 文章标签: javascript 安全 前端 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34120430/article/details/118278619
版权
本文详细介绍了XSS攻击的定义、类型(存储型、反射型、DOM型)及其危害,并通过实例解释了攻击过程。重点探讨了防止XSS攻击的方法,包括过滤恶意输入、转义输出、服务端渲染以及利用浏览器限制如CSP和Http-Only策略。文章还提醒开发者注意前端框架的安全特性,并推荐使用成熟的安全库。
摘要由CSDN通过智能技术生成

前端安全: 如何防止 XSS 攻击?

分享简介

今天想分享给大家的是 如何防止 XSS 攻击.
为什么想分享的原因是: 感觉大家对前端安全了解不够, 重视不够.

内容是:

  • 什么是 xss, 常见 xss 的类型. 并且通过小游戏来实践.
  • 如何去防止 xss 攻击

如何利用 XSS 进行攻击

什么是 XSS 攻击

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。

XSS 有哪些类型

  • 存储型
  • 反射型
  • DOM 型
存储型

场景: 用户发表评论, 论坛发帖, 用户私信等

  • 攻击者将恶意的代码, 提交到数据库中.
  • 后端服务器, 从数据库中获取的内容拼接成 html, 返回给浏览器
  • 用户打开页面, 混入其中的恶意代码被浏览器执行.
  • 恶意代码获取浏览器端的关键信息发送给攻击者的服务器
<% @post.comments.each.do |_c| %>
  <%= _c.comment %>
<% end %>

<%= link_to "Personal Website", @user.website %>
反射型

场景: 网站搜索, 分享链接, 恶意邮件等

反射型 XSS 漏洞常见于通过 URL 传递参数的功能。
由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。

  • 攻击者构造出特殊的 URL,其中包含恶意代码。
  • 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
http://xxx/search?keyword=<script>alert('XSS');</script>

<input type="text" value="<%= params[:keyword] %>">
<button>搜索<
最低0.47元/天 解锁文章
居十四
关注
专栏目录
前端安全系列(一):如何防止XSS攻击
qq_53058639的博客
07-01 1339
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端安全XSS的原理和防范
我可是小老虎的博客
10-11 904
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
前端如何防止XSS攻击
HarryHY的博客
08-09 6497
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
使用Javascript实现前端防御http劫持及防御XSS攻击并且对可疑攻击进行上报
08-10
httphijack 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 防范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 静态脚本文件内容
前端安全之预防XSS攻击
最新发布
主题模板站的博客
01-27 965
一般是提供一个免费的wifi,但是提供免费wifi的网关会往你访问的任何页面插入一段脚本或者是直接返回一个钓鱼页面,从而植入恶意脚本。这个其实就是wifi流量劫持,中间人可以看到用户的每一个请求,可以在页面嵌入恶意代码,使用恶意代码获取用户的信息,可以返回钓鱼页面。基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。这攻击其实跟网站本身没有什么关系,只是数据被中间人获取了而已,而由于HTTP是明文传输的,所以是极可能被窃取的。
94、前端如何防止XSS攻击
sunnnnh的博客
08-04 1104
参考:https://blog.csdn.net/fly910905/article/details/86644752 一、XSS攻击原理 XSS原称为CSS(Cross-Site Scripting 跨站脚本攻击),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 二、XSS
前端防御XSS
swordheart的博客
04-26 1960
0x00 前言 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多,虽说后端也可以完成这些功能,但是代码量会比前端代码多很多很多。其实说了那么多,交给nginx||apache||nodeJs||Python会更好处理。但是我不会C,也就没办法写nginx模块了。而且也不在本文章的范围内,等我什么
前端xss攻击
weixin_40650646的博客
02-28 284
https://jsxss.com/zh/index.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值