94、前端如何防止XSS攻击

最新推荐文章于 2024-05-22 14:30:00 发布
最新推荐文章于 2024-05-22 14:30:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 前端面试题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunnnnh/article/details/119388025
版权

参考:https://blog.csdn.net/fly910905/article/details/86644752

一、XSS攻击原理

  • XSS原称为CSS(Cross-Site Scripting 跨站脚本攻击),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。
  • 恶意攻击者往Web页面里插入恶意Script代码当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

二、XSS 注入的方法 

  • HTML 中内嵌的文本中,恶意内容以 script 标签形成注入
  • 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
  • 标签属性中,恶意内容包含引号,从而突破属性值的限制,注入其他属性或者标签
  • 在标签的 href、src 等属性中,包含 javascript: 等可执行代码。
  • onload、onerror、onclick 等事件中,注入不受控制代码
  • style 属性和标签中,包含类似 background-image:url("javascript:…"); 的代码(新版本浏览器已经可以防范)。
  • 在 style 属性和标签中,包含类似 expression(…) 的 CSS 表达式代码(新版本浏览器已经可以防范)。

三、如何预防XSS攻击

将能被转换为html的输入内容,在写代码时改为innerText而不用innerHTML 

使用转义字符L,就是把 & < > " ' / 这几个字符转义掉,确实能起到一定的 XSS 防护作用

C.&H.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列(一):如何防止XSS攻击
WLsweety的博客
02-08 2693
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
前端如何防止XSS攻击
HarryHY的博客
08-09 6360
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
前端安全系列:如何防止XSS攻击
琦彦
01-25 5031
前端安全  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这...
Web前端安全系列之:XSS攻防
最新发布
2401_84208172的博客
05-22 661
Web攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世–XSS(跨站脚本攻击)。伴随着Web 2.0的兴起,XSSCSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。Web。
前端安全之预防XSS攻击
主题模板站的博客
01-27 946
一般是提供一个免费的wifi,但是提供免费wifi的网关会往你访问的任何页面插入一段脚本或者是直接返回一个钓鱼页面,从而植入恶意脚本。这个其实就是wifi流量劫持,中间人可以看到用户的每一个请求,可以在页面嵌入恶意代码,使用恶意代码获取用户的信息,可以返回钓鱼页面。基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。这攻击其实跟网站本身没有什么关系,只是数据被中间人获取了而已,而由于HTTP是明文传输的,所以是极可能被窃取的。
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
前端安全之XSS的原理和防范
我可是小老虎的博客
10-11 881
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
前端防御XSS
swordheart的博客
04-26 1908
0x00 前言 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多,虽说后端也可以完成这些功能,但是代码量会比前端代码多很多很多。其实说了那么多,交给nginx||apache||nodeJs||Python会更好处理。但是我不会C,也就没办法写nginx模块了。而且也不在本文章的范围内,等我什么
前端安全:CSRF、XSS该怎么防御?
椰卤工程师的个人博客
11-12 2353
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
前端防止XSS攻击总结
m0_37932830的博客
10-08 592
1.对一些特定的表单输入字段要进行验证,如手机、邮箱、身份证或特殊字符。 2.对于一些输入框明确没有意义的内容 要进行长度限制。 3.vue不要使用v-html进行数据 DOM 渲染 ,(当渲染的节点只是显示数据,无任何交互可以)。 4.向后台插入数据 不能使用 GET请求向后台添加数据。 5.script不能使用 .innerHTML() .setAttribute() 进行渲染节点数据。 6.对于<a 标签>或者有请求后台的 H5标签 属性值复制不能使用 <%= **** %>
Web前端安全系列之:XSS攻防及Vue防御(万字长文)
绝对零度的博客
10-20 9492
Web 攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世–XSS(跨站脚本攻击)。伴随着Web 2.0的兴起,XSS、CSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。
前端防范xss攻击的实用方案
hsany330的专栏
07-02 1241
一、xss攻击原理 大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢? xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框: xss攻击图1 在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况: xss攻击图2 为什么会酱紫呢? ...
前端预防XSS攻击全攻略
前端小师姐迪迪_的博客
02-23 2220
前端如何预防XSS攻击XSS攻击做了哪些坏事?
防止前端xss攻击的方法
05-31
以下是几种防止前端XSS攻击的方法: 1. 输入验证:对于提交到前端的数据,需要进行输入验证,过滤掉一些不合法的字符,例如`和`>`等特殊字符。 2. 输出编码:在输出到页面时,需要对数据进行编码,将特殊字符转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值