XSS攻击和防御

最新推荐文章于 2024-09-30 21:52:51 发布
最新推荐文章于 2024-09-30 21:52:51 发布
阅读量286 收藏
点赞数
分类专栏: 网络安全 文章标签: 安全 xss node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45448359/article/details/114854393
版权

XSS攻击和防御

XSS:Cross Site Scripting 跨站脚本攻击

存储型XSS

  1. 恶意用户提交了恶意内容到服务器

  2. 服务器没有识别,保存了恶意内容到数据库

  3. 正常用户访问服务器

  4. 服务器在不知情的情况下,给予了之前的恶意内容,让正常用户遭到攻击

反射型

  1. 恶意用户分享了一个正常网站的链接,链接中带有恶意内容
  2. 正常用户点击了该链接
  3. 服务器在不知情的情况,把链接的恶意内容读取了出来,放进了页面中,让正常用户遭到攻击

DOM型

  1. 恶意用户通过任何方式,向服务器中注入了一些dom元素,从而影响了服务器的dom结构
  2. 普通用户访问时,运行的是服务器的正常js代码

xss的防御 可以通过一个插件库 xss
安装
npm i xss

文档xsshttps://www.npmjs.com/package/xss

这个插件 可以自动过滤一些关键词 代码等 防止xss攻击

简单的配置测试

  • 服务端代码
const express = require("express");
const http = require("http");
const path = require("path");
const xss = require("xss");
// express
const app = express();
const server = http.createServer(app);
app.use(express.static(path.resolve(__dirname, "public")));

app.use(express.json());
app.use(express.urlencoded());
const myxss = new xss.FilterXSS({
  onTagAttr(tag, name, value, isWhiteAttr) {
    if (name === "style") {
      return `style="${value}"`;
    }
  },
});
app.use((req, res, next) => {
  for (const key in req.body) {
    const value = req.body[key];
    req.body[key] = myxss.process(value);
  }
  next();
});

const articles = [];
app.post("/api/article/add", (req, res) => {
  articles.push(req.body.content);
  console.log(articles);
  res.send({
    code: 0,
    msg: "",
    data: "ok",
  });
});

app.get("/articles", (req, res) => {
  res.render("articles.ejs", {
    articles,
    redirect: req.query.redirect,
  });
});

// 监听端口
server.listen(5008, () => {
  console.log("server listening on 5008");
});
  • 客户端代码
<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>Document</title>
  </head>
  <body>
    <a href="/articles">文章列表</a>
    <h1>发布文章</h1>
    <textarea id="txtArticle" cols="30" rows="10"></textarea>
    <button>发布</button>
    <script>
      const txt = document.getElementById("txtArticle");
      document.querySelector("button").onclick = function () {
        fetch("/api/article/add", {
          method: "POST",
          headers: {
            "content-type": "application/json",
          },
          body: JSON.stringify({
            content: txt.value,
          }),
        })
          .then((resp) => resp.json())
          .then((resp) => {
            console.log(resp);
          });
      };
    </script>
  </body>
</html>
零零柒c
关注
专栏目录
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
Web安全XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
XSS攻击防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS攻击类型以及如何防范
最新发布
youxinm24的博客
09-30 980
输入验证:对所有用户输入进行严格的验证和过滤,防止恶意代码注入。可以使用白名单方式,确保只允许符合预期格式的输入。输出编码对输出内容进行 HTML 实体编码,防止特殊字符被解释为 HTML 或 JavaScript 代码。使用库或框架(如 Vue.js、React 等)自带的安全机制进行安全的 DOM 操作。内容安全策略(CSP):通过设置 CSP 响应头,可以限制浏览器加载和执行的资源类型,从而减少 XSS 的攻击面。使用安全的 JavaScript 框架。
XSS 的攻击和防御
dzqxwzoe的博客
01-14 247
Cross Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。通过这些恶意的脚本,攻击者可获取用户的敏感信息如:Cookie、Session等。Cross Site Scripting 的英文首字母缩写应为 CSS,但是因为其和我们的样式语法 CSS(Cascading Style Sheets)一样,所以将 CSS 改成 XSS
XSS攻击防御
创世元年
04-27 1101
XSS攻击防御 1 背景知识1.1 什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算 ...1 背景知识1.1 什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site
8、XSS 攻击的防御pdf资料
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
web安全XSS攻击防御pdf
08-25
### Web安全XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS ...以上内容涵盖了XSS攻击的基本概念、分类、挖掘方法、利用方式以及防御策略等多个方面,对于深入理解和防御XSS攻击具有重要的指导意义。
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
php_XSS防攻击插件
05-29
php编辑器或者文本域获取js传值 js写入防止被攻击XSS;有demo使用手册
Web安全——XSS攻击以及防御
mapbar_front的博客
06-13 1393
XSS(跨站脚本攻击) XSS——Cross site scripting 这是最常见的一种web安全问题。引起这种问题的原因是什么呢?主要是由于不合理的数据引起的。 &amp;amp;amp;lt;div&amp;amp;amp;gt; { content } &amp;amp;amp;lt;/div&amp;amp;amp;gt; 一般这样的页面结构,我们的页面解析出来的期望是这样的。 &amp;amp;amp;lt;div&amp;
xss攻击防御
zhangzhangdan的博客
12-30 2109
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(sam
XSS 攻击与防御
qq_42062727的博客
04-26 1008
XSS 攻击与防御 XSS(跨站脚本攻击,Cross-site scripting,它的简称并不是 CSS,因为这可能会与 CSS层叠样式表重名)是一种常见的 web 安全问题。XSS 攻击手段主要是 “HTML 注入”,用户的数据被当成了 HTML 代码一部分来执行。 有时候我们点击一个链接,发现号被盗了,这很可能就是一个 XSS 攻击。例如攻击者发现了 A 站点的一个 XSS 漏洞,A 站点的...
XSS攻击防御
jeammy06061026的博客
06-10 402
最近在看XSS,先把两篇比较好的博客链接记上,方便以后更新查找; XSS原理与剖析 XSS攻击技术详解
经典面试题:xss攻击防御
weixin_34290631的博客
05-29 865
XSS 分为三种:反射型,存储型和 DOM-based 如何攻击 XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网站。 例如通过 URL 获取某些参数 <!-- http://www.domain.com?name=<script>alert(1)</script> --> <div>{{name}}</div>...
Xss攻击防止
八点半技术站
11-05 552
XSS又称CSS,全称Cross SiteScript ;跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式;原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的.如:盗取用户Cookie、破坏页面结构、重定向到其它网站等。根据XSS攻击的效果可以分为几种类型第一、XSS反射型攻击,恶意...
XSS攻击防御全面指南
"XSS - 攻击防御手册.pdf" 这篇文档是关于XSS(跨站脚本)攻击和防御的详细指南,由Xylitol撰写,主要涵盖了XSS的基础知识,攻击构造,防御策略以及各种攻击技巧。XSS是一种常见的网络安全问题,它利用了网站对用户...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值