underScore专题-字符串逃逸,防止XSS攻击

最新推荐文章于 2022-07-25 11:32:25 发布
最新推荐文章于 2022-07-25 11:32:25 发布
阅读量396 收藏 2
点赞数
分类专栏: underScore专题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41831345/article/details/106189521
版权

什么是XSS攻击?

举一个例子:页面中有一个input框,我们需要把用户输入的内容展示在页面中,具体代码如下:

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <style>
        input {
            width: 200px;
            height: 30px;
            border-radius: 4px;
            border: 1px solid gray;
        }
    </style>

</head>

<body>
    <input id='btn' type="text">
    <button id="sub" type="submit">提交</button>
    <div id='content'></div>
</body>
<script>
    var inp = document.getElementById('btn');
    var sub = document.getElementById('sub');
    var content = document.getElementById('content')
    sub.addEventListener('click', function() {
        content.innerHTML = inp.value
    })
</script>
<script src="underScore.js"></script>
<script>
</script>

</html>

如果用户输入的是脚本呢?

<a href="javascript:alert(1)">攻击</a>

点击攻击,页面会出现一个弹框

这里加入的js代码可以顺利的执行,这样就很危险了,看下面的代码:

<img src=@ onerror='var s=document.createElement("script");s.src="xss.js";document.body.appendChild(s);' />

一份意外的js文件被引入,试想,如果这里是个绝对路径,里面是提前编辑好的js代码,这样就可以在你的页面上为所欲为,包裹回去cookie,用你的身份登陆网页,获取用户信息等等。总之,就是很危险。


为了防止这种情况的发生,我们可以将网址上的值取到后,进行一个特殊处理,再赋值给 DOM 的 innerHTML。

underScore源码中,把一些不安全的字符都转变成了字符串实体。

什么是字符串逃逸?

就是把一些不安全的字符都转变成了字符串实体。

下面列举了一些字符串对应的字符串实体:


    // List of HTML entities for escaping.
    var escapeMap = {
        '&': '&amp;',
        '<': '&lt;',
        '>': '&gt;',
        '"': '&quot;',
        "'": '&#x27;',
        '`': '&#x60;'
    };

当用户输入的字符串中包含这里的key是,就把它转换为对象的value。这样说大家可能不太明白是在干什么?为什么这样转换就能防止XSS攻击了,别急,往下看:

把刚刚的代码输入替换一下:

&lta href="javascript:alert(1)"&gt攻击&lt/a&gt

把尖括号替换成字符串实体后,看页面会输出什么?页面输出了输入框的内容,但不会把输入字符串当成标签输出,是以字符串的形式输出的,这样就无法再注入js代码了,因为到页面都会被转换为字符串,这样就安全多了。

 

underScore内部的escape函数就做了这样的事情:

    // Functions for escaping and unescaping strings to/from HTML interpolation.
    function createEscaper(map) {
        var escaper = function(match) {
            return map[match];
        };
        // Regexes for identifying a key that needs to be escaped.
        var source = '(?:' + keys(map).join('|') + ')';
        var testRegexp = RegExp(source);
        var replaceRegexp = RegExp(source, 'g');
        return function(string) {
            string = string == null ? '' : '' + string;
            return testRegexp.test(string) ? string.replace(replaceRegexp, escaper) : string;
        };
    }
    var escape = createEscaper(escapeMap);

testRegexp正则写成字面量就是这样的: 

var str = '<a href="javascript:alert(1)">攻击</a>'
var testRegexp = /(?:&|<|>|"|'|`)/;
console.log(testRegexp.test(str)) // true
var str = '防止攻击`设计`'
var testRegexp = /(?:&|<|>|"|'|`)/;
console.log(testRegexp.test(str)) // true

这里(?:pattern)是非捕获分组,不加这个也可以实现功能,但是会影响性能,推荐一本书《JavaScript正则表达式迷你书》

所以这里加了非捕获分组,不去捕获匹配的内容。

正则如果不加全局匹配,只会匹配到一个后停止:

    var str = '防止攻击`设计`'
    var testRegexp = /(?:&|<|>|"|'|`)/;
    str.replace(testRegexp, function(match) {
        console.log(match) // `
    })

这里就匹配到了第一个'`',所以需要给这个正则加全局匹配,至于为什么不直接使用使用全局匹配,估计也是考虑性能的问题,全局匹配肯定要比非全局匹配消耗性能。

    var str = '防止攻击`设计`'
    var testRegexp = /(?:&|<|>|"|'|`)/g;
    str.replace(testRegexp, function(match) {
        console.log(match) // ` 
    })

换成全局的,就会打印两次:

最后的使用,是需要调用这个函数,处理用户输入的字符串就可以有效的防止XSS攻击了。 

 content.innerHTML = _.escape(inp.value)

 

麦乐乐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss跨站脚本攻击
m0_67265464的博客
03-06 204
概述: 主要指攻击者可以再页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为 产生原因: 由于web程序对用户的输入过滤不足、,导致用户输入的恶意HTML/Javascript 代码注入到网页中,混淆原有语义,产生新的恶意语句。在其他用户访问网页时,浏览器就会触发恶意的网页代码,从而达到XSS攻击的目的 分类: 反射型:恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击 输入: 输
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3016
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
批处理实例 逃逸字符%的详细解释
08-28
批处理实例 逃逸字符%的详细解释 逃逸字符% 是批处理总比较难理解的 这个实例可以帮助你更好的理解逃逸字符%
underscore.js的一些用法
09-12 229
来源:https://www.jianshu.com/p/1219ab5b16de underscore提供了一套完善的函数式编程的接口,让我们更方便地在JavaScript中实现函数式编程。jQuery在加载时,会把自身绑定到唯一的全局变量$上,underscore与其类似,会把自身绑定到唯一的全局变量_上。 underscore为集合类对象提供了一致的接口。集合类是指Array和Objec...
Underscore.js 入门
hsany330的专栏
04-09 667
Underscore.js是一个很精干的库,压缩后只有4KB。它提供了几十种函数式编程的方法,弥补了标准库的不足,大大方便了JavaScript的编程。MVC框架Backbone.js就将这个库作为自己的工具库。除了可以在浏览器环境使用,Underscore.js还可以用于Node.js。 Underscor.js定义了一个下划线(_)对象,函数库的所有方法都属于这个对象。这些方法大致上可以
underscore.js_使用Underscore.js进行功能反跳
culuo8053的博客
08-08 101
underscore.jsThe ability to listen and react to user interactions with JavaScript is fundamental and incredibly useful. Some interactions happen frequently and some rarely. Some listener functions a...
Underscore 详解 JavaScript实用库
bugall的专栏
04-01 3330
Underscore一个JavaScript实用库,提供了一整套函数式编程的实用功能,但是没有扩展任何JavaScript内置对象。它是这个问题的答案:“如果我在一个空白的HTML页面前坐下, 并希望立即开始工作, 我需要什么?“...它弥补了部分jQuery没有实现的功能,同时又是Backbone.js必不可少的部分。 (感谢@小邓子daj 的翻译建议) Underscore提供了10
HTML 清理(逃逸)对抗 XSS 攻击
allway2的博客
07-25 1068
在上面的例子中,被“”包围的“script”标签被清理了。它是一个HTML标签,在净化处理之前作为脚本标签运行,但在净化处理之后,“”被替换为字符串“”,因此它们显示在浏览器。通常,通常会指定“ENT_QUOTES”,它不仅会过滤“”,还会过滤“'(单引号)”和“”(双引号)。在上述函数“htmlentities”中,不仅“”,而且“”(双引号)和“&”分别被替换为不同的字符串“"我介绍了如何将“”替换为“<......
绕过html编码,编码绕过问题
weixin_28973855的博客
06-20 563
在bwapp上尝试xss注入时,在level3层次上,后台用了htmlspecialchars函数编码转义,没有办法绕过。网上搜索后,给出的结论是,函数对&,',",进行了转义,其本身没法绕过,但是视它所处的环境来定。比方说,hellodocument.getElementById("1").innerHTML = x;注意这个x变量,它首先是在script环境下,然后通过改变dom结构,...
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1675
php反序列化字符串逃逸
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP中的处理方法
underscore.pathextend:使用字符串路径扩展对象的下划线助手
07-09
下划线.pathextend 这个库是 Underscore 的扩展,它允许使用字符串路径扩展对象。特征使用路径作为键进行扩展。依赖关系underscore.js (>= 1.5.0) underscore.path (>= 0.1.4)节点 var _ = require ( 'underscore' )...
underscore-template-loader:用于Webpack的Underscore和Lodash模板加载器
05-05
npm install underscore-template-loader 确保已安装underscore或lodash软件包。 用法 module . exports = { //... module : { loaders : [ { test : / \. html $ / , loader : "underscore-template-loader" }...
underscore--
05-14
下划线- 这是一个有用的库,可以做无用的事情
下划线「underscore」-crx插件
03-19
简单的多功能框快捷键支持轻松访问underscore.js文档。 使用方法:只需在“Chromes”中输入“_”即可 简单的Omnibox快捷方式支持,可轻松访问underscore.js文档。使用方法:只需在Chrome搜索框中输入“ _”,然后...
underscore-basic-tutorial:underscore.js的基础教程
05-26
一些相关的underscore.js函数的快速教程
Underscore.js使用
weixin_34367845的博客
09-20 85
Underscore 是一个 JavaScript 工具库,它提供了一整套函数式编程的实用功能,但是没有扩展任何 JavaScript 内置对象。 他解决了这个问题:“如果我面对一个空白的 HTML 页面,并希望立即开始工作,我需要什么?” 他弥补了 jQuery 没有实现的功能,同时又是 Backbone 必不可少的部分。 Underscore 提供了100多个函数,包括常用的:map、filt...
underscore.js源码解析【对象】
weixin_30767921的博客
09-02 65
// Object Functions // ---------------- // Keys in IE < 9 that won't be iterated by `for key in ...` and thus missed. /* ie9以下版本中,对象中的key是不能被遍历的 */ var hasEnumBug = !{t...
一个必用的javascript框架:underscore.js
wine的思考
06-05 172
  上篇文章(http://cavenfeng.iteye.com/admin/blogs/1551516)粗略介绍了移动应用框架的搭建,其中,有一个比较重要的库:underscore.js     Underscore是一个非常实用的JavaScript库,提供许多编程时需要的功能的支持,他在不扩展任何JavaScript的原生对象的情况下提供很多实用的功能。   创造一个小而美的公司非常...
map-underscore-to-camel-case无效
最新发布
09-21
要正确应用该方法,需要确保字符串中的每个下划线后面的字符都是大写字母或数字,并且在旧版本的map-underscore-to-camel-case中可能并没有对符号进行特殊处理。如果字符串中包含其他字符或下划线后面跟着小写字母,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值