前端安全学习-XSS(跨站脚本攻击)

最新推荐文章于 2024-07-23 12:00:00 发布
最新推荐文章于 2024-07-23 12:00:00 发布
阅读量217 收藏
点赞数
分类专栏: 前端安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012961419/article/details/105641219
版权

XSS 跨站脚本攻击
个人理解:攻击者通过合法方式(如表单输入、URL自定义参数访问等)向web页面插入代码,实现获取cookie、篡改布局、页面重定向等攻击。

XSS分类:
1.反射型(非持久化):将恶意代码作为URL参数去访问。
2.存储型(持久化):通过发布文章或留言等表单输入提交方式将代码存储到服务器的数据库中(后台未作过滤的情况下)。每当用户访问使用这段代码的页面就会被攻击。
3.DOM型 个人理解可归入反射型,通过url执行恶意代码。

防御方式:
1.前端输入/后端返回字符串过滤后再使用,将html js特殊字符转实体。
2.cookie设置httponly禁止客户端通过js获取
3.尽量避免直接将字符串作为html js css代码使用

其他:
一些前端框架由于动态生成dom的原因(默认会进行转义),已经填补了大部分XSS漏洞,需要注意的是直出HTML代码的部分,如vue的v-html,react的dangerouslySetInnerHTML
可以使用xss插件过滤:XSS-根据白名单过滤HTML(防止XSS攻击)

参考文档:
前端的安全问题

皮蛋很白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
前端安全: 如何防止 XSS 攻击?
学习真香
06-27 4128
前端安全: 如何防止 XSS 攻击? 分享简介 今天想分享给大家的是 如何防止 XSS 攻击. 为什么想分享的原因是: 感觉大家对前端安全了解不够, 重视不够. 内容是: 什么是 xss, 常见 xss 的类型. 并且通过小游戏来实践. 如何去防止 xss 攻击 如何利用 XSS 进行攻击 什么是 XSS 攻击 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信
前端安全XSS的原理和防范
我可是小老虎的博客
10-11 904
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
前端安全系列(一):如何防止XSS攻击?
最新发布
qq_44005305的博客
07-23 812
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
前端如何防止XSS攻击
HarryHY的博客
08-09 6487
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
Web安全--XSS跨站脚本攻击
weixin_68243135的博客
11-28 703
Web安全xss攻击利用,以及绕过和防护措施。
前端安全之-XSS(跨站脚本攻击)详解
wb199811的博客
08-17 7928
xss跨站脚本攻击一.XSS的基本概念二、XSS攻击的主要途径三、XSS的分类反射型XSS存储型XSSDOM XSS防范措施利用 CSP利用 HttpOnly 一.XSS的基本概念 XSS又叫CSS (Cross Site Script) ,为了和css(层叠样式表)区分,我们通常称它为(xss)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 xss是一种发生在web前端的漏洞,所以其危害的对象也主要
web安全-XSS跨站脚本攻击
vaultc的博客
03-30 356
xss跨站脚本攻击 一、产生原因 对用户输入的过滤不足 二、常见类型 反射型-非持久型: 通过客户端可操作的前端变量注入,经过后端,不经过数据库保存,一般为一次性攻击,通过诱导其他用户访问被xss操作后的URL进行攻击 存储型-持久型: 通过客户端可操作的前端变量注入,经过后端,进入数据库持久化,其他用户每次访问被xss入侵的界面都会启动恶意脚本攻击 DOM型-DOM反射型: 通过前端可操作的DOM注入,不经过后端(不经过数据库),和反射型类似,一般也是通过URL诱导点击触发攻击 三、常见危害 窃取
java反射行跨站脚本攻击_Web安全之防止XSS跨站脚本攻击
weixin_32589453的博客
02-24 1122
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植...
Web应用的安全攻防之跨站脚本攻击(XSS)
08-23
Web应用的安全攻防之跨站脚本攻击(XSS)Web应用的安全攻防之跨站脚本攻击(XSS)
前端安全之预防XSS攻击
主题模板站的博客
01-27 964
一般是提供一个免费的wifi,但是提供免费wifi的网关会往你访问的任何页面插入一段脚本或者是直接返回一个钓鱼页面,从而植入恶意脚本。这个其实就是wifi流量劫持,中间人可以看到用户的每一个请求,可以在页面嵌入恶意代码,使用恶意代码获取用户的信息,可以返回钓鱼页面。基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。这攻击其实跟网站本身没有什么关系,只是数据被中间人获取了而已,而由于HTTP是明文传输的,所以是极可能被窃取的。
转自haorooms :网页防止黑客跨框架攻击,及浏览器安全性想到的
weixin_30416497的博客
11-18 80
前面,我的有一篇防止用户XSS注入的文章,是一个php函数,地址是:http://www.haorooms.com/post/php_xss,对于各种攻击,首先你的代码要有严密的逻辑性,不要有漏洞。还有,你用的一些框架或者源码,本身有什么漏洞等,可以对这些漏洞做一些修复等等。 今天首先是讲讲防止网页跨框架的方法,其次讲讲IE浏览器和谷歌浏览器。 防止网页垮框架 很...
前端防止XSS攻击总结
m0_37932830的博客
10-08 619
1.对一些特定的表单输入字段要进行验证,如手机、邮箱、身份证或特殊字符。 2.对于一些输入框明确没有意义的内容 要进行长度限制。 3.vue不要使用v-html进行数据 DOM 渲染 ,(当渲染的节点只是显示数据,无任何交互可以)。 4.向后台插入数据 不能使用 GET请求向后台添加数据。 5.script不能使用 .innerHTML() .setAttribute() 进行渲染节点数据。 6.对于<a 标签>或者有请求后台的 H5标签 属性值复制不能使用 <%= **** %>
Cross Frame Script 跨框架脚本 攻击
qq_43746825的博客
02-22 501
Cross Frame Script 跨框架脚本 攻击
xss跨站脚本攻击尽可能详细
05-17
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本,将其传递到用户的浏览器中,从而在受害者的浏览器上执行恶意脚本,达到控制网站、窃取用户信息等目的。 XSS分为反射...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值