关于防止xss攻击使用xss.js出现的一些报错

已于 2022-12-08 09:47:08 修改
阅读量4.3k 收藏
点赞数
分类专栏: html/js/css 文章标签: xss攻击 filterXss xss.js
于 2019-07-11 11:42:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011447164/article/details/95459585
版权

我们在看使用前台过滤script脚本的时候使用到了xss.js,在它的官方文档中写了这样的一段使用说明:

在浏览器端使用

Shim模式(参考文件 test/test.html):

<script src="https://raw.github.com/leizongmin/js-xss/master/dist/xss.js"></script>
<script>
// 使用函数名 filterXSS,用法一样
var html = filterXSS('<script>alert("xss");</scr' + 'ipt>');
alert(html);
</script>

如果按照这段使用说明来测试这个短代码的时候是会报如下的错误,

Refused to execute script from 'https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js' because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled.

这个是因为你没有给type类型没写或者是写错了,按提示应给成text/plain的类型,但是修改过来,你以为就可以了,你想错了!

但是经过测试,即使这里不报错了可以正常加载了但是使用它的filterXss的方法的时候还是会报错,

Uncaught ReferenceError: filterXSS is not defined
    at new_file.html?__hbt=1562816031213:12

说你的这个filterXss的方法没有定义,这个应该还是没哟加载xss.js

原本想直接就引用它的js了,省的还得访问自己的静态资源,节省带宽,也许人家的访问速度比咱还快,最后还是被现实给打败了,不能用啊!

所以我最后把他js_xss的项目从git下载下来,直接从它的项目中拷贝一份js放在自己的项目中,然后再想一开始那样引用就没有问题了

当然了,我认为光从前端过滤xss攻击还是不可以的,当他给你通过接口直接提交参数的时候你的前端xss就不会过滤,

所以还是需要在后端加一层xss过滤,前端设置只是为了减少后端的过多操作。

枣泥馅
关注
专栏目录
XSS常见问题
oxygensss的博客
12-08 2938
XSS的原理分析与解剖常见问题 1.xss的本质是什么 我们的传参被拼接进HTML页面,并且被执行。 2.xss如何执行 通过拼接恶意的html代码,js语句来执行攻击,实际上为html代码注入 3.xss作用 盗用cookie,得到内网ip,获取保存的密码等 4.如何检测xss 通过一个经典语句弹窗检测 5.xss还可以通过什么来执行 通过事件,伪协议来执行 6.伪协议是什么 一种不同与真实协议的协议,只有关联应用才可以用(例如:javascript:alert(1)) 7.事件是什么 这里的事件就是指j
xss靶场练习之xss.haozi.me解析及答案
lyz_yyds107的博客
08-05 1051
靶场绕过
xss该如何使用
chaopi_的博客
03-03 430
只要在上传的插件中写入木马就可以进行getshell,在这个利用方式中xss相当于一个跳板,模拟了一个安装请求去getshell,只需要等待管理员触发就可以进行注入。C位置可填充%0B,如果加双引号,则可以填充/**/,%09,%0A,%0C,%0D,%20。A位置可填充/,/123/,%09,%0A,%0C,%0D,%20。D位置可填充%09,%0A,%0C,%0D,%20,//,>B位置可填充%09,%0A,%0C,%0D,%20。(parseInt和toString互逆)alert(1)为触发函数。
构建坚不可摧的防线:JavaScript中防范XSS攻击的策略
最新发布
2402_85758349的博客
08-12 524
XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,这些脚本可以在用户不知情的情况下窃取信息、会话令牌或进行其他恶意操作。XSS攻击主要分为三类:反射型、存储型和基于DOM的XSS
使用 js-xss 防御 xss 攻击
晴天有点孤单
03-29 4776
xss攻击是很常见的一种攻击方式,下面简单讲一下前端如何防御。 讲之前简单涉及一点后端防御的方案: 在前后端交互的时候做好特殊符号的转义 下面重点是前端使用js-xss防御 npm install xss --save main.js引用 import xss from 'xss' Vue.use(xss); Object.defineProperty(Vue.prototype, '$xss', { value: xss })// click事件被过滤 3.html 中防御 <p
xss其他标签下的js用法总结
lowerxiaoshen的博客
10-30 2181
xss其他标签下的js用法总结大全<script src=js地址></script>实际上我们的测试语句可能为↓<script>alert("90sec")</script>也就是说js语句实际上是位于↓ <script></script>的中间。包括<img>、<input>、<object>、<iframe>、<a></a>、<svg>、标签等情况下的xss构造。所以我们就需要了解各种标签下
跨站脚本 XSS漏洞解决办法
cs95T6的博客
05-05 804
xss漏洞解决
复现XSS漏洞及分析
qq_56724164的博客
09-04 689
XSS
ThinkPHP 防范XSS攻击
H2912616818的博客
12-17 844
这是一篇关于XSS攻击防范的文章,主要是用来解决ThinkPHP5.1以下的
富文本编辑框和防止xss攻击
hqs2212586的专栏
08-07 4691
富文本编辑框和防止xss攻击 一、后台管理页面构建  1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", vie...
spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS
qq_26801767的博客
05-20 8372
spring cloud gateway 过滤器防止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
xss.js.zip
07-29
xss是一个用于对用户输入的内容进行过滤,以避免遭受 XSS 攻击的模块,可通过白名单来控制允许的标签及相关的标签属性,另外还提供了一系列的接口以便用户扩展。
XSS跨站脚本(web应用)——XSS跨站脚本(二)
Gjqhs的博客
02-24 991
本章目的 普及XSS漏洞原理和分类,以及XSSspayload构造以及变形 基础概念 XSS漏洞概述 XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(Cascading Style Sheets)重名,所以改为XSSXSS主要基于javascript语言完成恶意的攻击行为,因为javascript可以非常灵活的操作html、css和浏览器。 XSS简介 XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网
XSS漏洞的HTML和JS基础
2301_80361487的博客
01-23 722
HTML 标签的大小写无关的,例如 和 表示的意思是一样的,都代表“主体”,推荐使用小写。1.事件(Event)是JavaScript应用跳动的心脏,也是把所有东西粘在一起的胶水,当我们与浏览器中 Web页面进行某些类型的交互时,事件就发生了。 //HTML文档的元数据,机器可读,如">test //标题标签 ,位于页面最上方定义浏览器工具栏中的标题。
xss漏洞修复踩坑总结
BHSZZY的博客
05-18 3278
一、前言 最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来; 说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。 二、修复方法:前端修复 这个问题之前也遇到过,于是就按照之前的修复方法,让前端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。 谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。 如果从前端输入含有<a
【Django】because its MIME type (‘text/html‘) is not executable, and strict MIME type checking is enab
热门推荐
winrh的博客
11-30 2万+
报错内容 because its MIME type ('text/html') is not executable, and strict MIME type checking is enabled. 问题分析 静态文件被当成接口请求了,需要在middleware类中处理跳转问题,当包含static关键字时允许继续。(因为我的静态文件的路径就是以static开头的,如/static/js/admin.js) 如果还不行,则可能是文件不存在,复制静态文件所在的包,目录名改为static。...
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2483
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
xss(跨站攻击)
m0_74456293的博客
03-20 2731
xss(跨站攻击)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

枣泥馅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值