关于xss攻击解决方案

已于 2023-10-30 11:23:03 修改
阅读量3k 收藏 2
点赞数
文章标签: xss 前端 javascript web安全
于 2023-01-11 15:45:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/susanliy/article/details/128645724
版权
文章介绍了XSS攻击的原理,特别是在Vue中使用v-html指令时的风险。解决方案包括使用XSS过滤插件和HTML转义。同时,文章提醒在处理HTML字符串转DOM时要过滤onload和onerror属性,确保第三方HTML的安全性。
摘要由CSDN通过智能技术生成

1.介绍:

前端安全系列(一):如何防止XSS攻击?
在这里插入图片描述

2.遇见的问题

情况一:

后端直接返回带有样式的字符串,使用v-html会受到xss的攻击:
原理:Vue中的v-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不会作为Vue模板进行编译,容易受到xss攻击
在这里插入图片描述
xss攻击检验的方式:

  text: '<img src=X οnerrοr=alert(111)>'

解决方式:

方法一:

使用xss插件
https://jsxss.com/zh/options.html(npm)根据白名单过滤HTML(防止XSS攻击)
https://blog.csdn.net/lingxiaoxi_ling/article/details/105851736(详细理解版)

方法二:

①、用html转义,将<>转义成转义符,这样标签就编程了文本了(QQ空间的做法)
②、使用jsoup白名单过滤掉onerror关键字,让他不要在前台显示(这种更安全,因为转义还有可能被绕过)

其他尝试记录:

  1. xss函数处理挂载在原型上,可是nuxt的配置上找不到chainWebpack,不生效
    处理v-html的潜在XSS风险_lj1530562965的博客-CSDN博客在这里插入图片描述

  2. setAttribute()方式对Css样式的属性进行操作时,只能获取已经通过JS代码进行设置过的值或者通过HTML元素显示设置了想要的内联样式的值(即在HTML标签中通过属性style进行设置了的属性值)。
    后台返回的是带样式的字符串,不适用
    在这里插入图片描述

  3. 子组件渲染–因为需要渲染字符串里面的css,使用要用到.innerHTML 会受到xss攻击在这里插入图片描述

xss检验在这里插入图片描述

总结

1.innerHTML —xss攻击
2.DOMParser().parseFromString()–性能最差,会受到xss攻击
3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全
4.insertAdjacentHTML()–会受到xss攻击
5.createContextualFragment ()–安全性能差,会受到xss攻击

因此,在进行HTML字符串转DOM时候,记得过滤onload和onerror属性,尤其是第3方的HTML字符串,一定要注意安全,防止XSS攻击。

蜡笔小嘟
关注
XSS攻击解决方法
weixin_33877092的博客
02-28 846
在我上一篇《前端安全XSS攻击》文中,并没有把XSS攻击解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Web安全XSS跨站脚本攻击:如何预防及解决
最新发布
J老熊
09-07 1687
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSSWeb应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击。
xss攻击解决方案
M1275601161的博客
03-09 3947
参考博客: https://blog.csdn.net/qwe86314/article/details/83827588 一、什么是xss攻击 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Req
xss攻击解决方法
qq_43583597的博客
07-27 583
xss攻击解决方法XSS攻击介绍思路代码 XSS攻击介绍 XSS攻击的全称是跨站脚本攻击,听着贼牛皮的样子不过确实很烦人。它是Web应用程序中最常见到的攻击手段之一。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,...
XSS攻击解决方法
心灵净土
11-01 1445
<br />跨站攻击,怎么解决呢?当然是特殊字符过滤了,常用的有两种方式:<br /> <br />1、自写函数过滤特殊字符:<br /> <br /> public static string XssReplace(string source) { source = source.Replace("<", ""); source = source.Replace(">", ""); source = sour
xss漏洞
A_Alger的博客
09-04 357
XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
百度内部通用XSS攻击解决方案探讨培训ppt 本资源为百度内部通用XSS攻击解决方案探讨培训ppt,主要介绍了百度内部通用XSS攻击解决方案的探讨培训内容。下面是从该资源中提取的知识点: 1. 问题现状:XSS攻击的数量...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
### Spring Boot XSS 攻击过滤插件使用及解决方案详解 #### XSS概述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web安全漏洞。这种攻击方式利用了Web应用未能正确过滤用户提交的数据,导致恶意脚本...
JSP Struts过滤xss攻击解决办法
01-08
JSP Struts过滤xss攻击解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml extends=struts-default,> <!-- 配置拦截器 --> <!-- 定义xss拦截器 --> ...
XSS攻击解决方案
冰夜翎博客
11-03 1907
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
xss攻击原理与解决方法
茂盛博客
08-01 965
XSS攻击处理
xuzhelin的专栏
09-26 869
1、什么是XSS攻击         XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。    理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1258
概述 XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
java xss解决方案_XSS攻击解决方案
weixin_39632467的博客
02-28 1264
以下介绍两种防御实现方式。1-XssFilter的实现方式1.1在web.xml加一个filterXssEscapeXssFilterXssEscape/*REQUEST1.2XssFilter 的实现方式是实现servlet的Filter接口importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值