Javascript 输入框 xss注入 以及防范

最新推荐文章于 2024-06-24 15:25:03 发布
最新推荐文章于 2024-06-24 15:25:03 发布
阅读量9.2k 收藏 3
点赞数 1
分类专栏: javascript 文章标签: javascript XSS 前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013338742/article/details/53440237
版权

注入

类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js;

例如:
<input type="text" value="$var">

输入的内容如果是
" onclick = "javascript_function()" >
在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js

<input type="text" value="" <!-->
...

<input type="text" value="" --> onclick="function eval()" >
还看到MySpace的蠕虫的构建方式, 其中的方法也真是巧妙地避开了所有的限制规则:
比如限制了 javascript,onreadystatechange等等关键字以及 iframe, script,style等等标签;
但是,这并不表明木有漏洞了;
其中, 可以使用拼接字符串的方式,将字符串拼接起来:
<input type="text" value="" style="background:url(expr)" expr="document.getElementById('id').onready"+"statechange">

防范:
采取完全不信任用户输入的心态去对待,前端过滤特殊字符, 类似 ” ’ & * ^ ! 等等;

 var reg = /\~|\!|\!|\@|\#|\$|\^|\¥|\%|\…|\&|\*|\(|\)|\—|\+|\{|\}|\“|\”|\《|\》|\?|\?|\<|\>|\'|\"/g;
 $("#ind_name").val($(this).val().replace(reg, ""));

将输入内容进行编码:

encodeURIComponent

还得防范css的xss, 比如: Img的src属性, 就可以实现将用户的隐私发送到指定地址;
background的url 也可以实现蠕虫攻击(Facebook和微博都发生过)
但主要防范还是要在后端,后端必须过滤输入和输出, 对特殊字符 < > script 等等更是要防范,还有就是对cookie设置
httponly:true
标识符;

JohnnyLiao_WJ
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript实现代码注入(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
10-25 930
JavaScript实现代码注入(附完整源码)
ctf xss注入.pdf
02-11
为了实现这一目标,我们需要利用XSS注入技巧来插入一段JavaScript代码,使其能够在用户访问网页时执行。 - **步骤1:** 在开发者工具中打开控制台,观察页面加载过程中的请求和响应。 - **步骤2:** 分析页面结构,...
搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
06-12
我刚入行的时候做过一个小小的页面工具,其中有一个步骤是把一些代码输出到页面上,当时我用的是php做的,写了个for循环,读取每一行的内容,然后echo出来。但是我发现页面排版老是那么的乱,怎么缩进都没有了?有一些代码还显示不出来?这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容被浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用nbsp; ……”这时我才反应过来:“哦,原来如此……”。那时我才知道,在html的输出上代码和内容还是得程序员自己去区分的。
XSS注入(跨站脚本攻击)原理与实践
打工人的自我修养
04-26 1587
XSS注入是一种最普遍的网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
Web安全中的XSS攻击详细教学(附通关教程)
最新发布
黑战士的博客
06-24 921
\1. 存储型XSS(持久型):攻击者将恶意脚本存储在目标服务器上,每当用户访问受感染的页面时,恶意脚本就会执行。\2. 反射型XSS(非持久型):攻击者诱使用户点击一个链接,该链接将恶意脚本作为输入传递给服务器,然后服务器将这个脚本反射回用户的浏览器执行。\3. DOM型(非持久型):XSS攻击的常见目标是盗取用户的cookie和其他敏感信息,这些信息可以用来进行会话劫持、身份冒充等进一步攻击。如何防御?\1. 输入验证:网站开发者需要对用户输入进行严格的验证和过滤,避免将不受信任的数据直接输出到HTML
前端安全问题及防范措施
weixin_42429220的博客
04-24 1340
本文介绍了前端安全问题,包括 XSS 攻击、CSRF 攻击、SQL 注入等。同时,也给出了针对这些安全问题的防范措施,如在前端代码中过滤用户输入,使用 HTTP-only 标记,设置 Content-Security-Policy,添加 token,检查请求来源和使用参数化查询等。XSS 攻击(跨站脚本攻击)是指攻击者向 Web 页面中注入恶意代码,从而窃取用户信息或执行其他恶意操作。SQL 注入是一种最为常见的攻击方式之一,攻击者通过在用户输入中注入 SQL 代码,从而导致网站受到损害,破坏数据库安全
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5606
修复建议:建议对用户得输入与输出进行过滤,过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
js脚本注入和sql注入
你好_晴天
02-14 1979
注入攻击
如何利用js加密防止xss注入
mxd01848的博客
10-17 727
如何利用js加密防止xss注入
js防止注入实现
王维璋
10-09 487
今天其他项目组同事过来问过我是否遇到过这种情况? 场景:在项目input框中输入含有script标签包含的脚本,提交后却意外的被执行了。(所有恶意攻击的脚本标签) 问题:HTML没有进行转义的发送,会导致回显或者提交的时候html语义无法解释 < 和 > 符号,认为其是标签。故进行标签模式的渲染。 解决:每次发送前对输入的字符串进行特殊符号的转义,避免html标签符号和...
防js代码注入
WiFi_Uncle的专栏
10-11 4864
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
如何避免JavaScript 注入攻击?
qq_43288299的博客
09-27 3840
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
Xss.pptx.zip_网络编程_JavaScript_
08-11
下面我们将深入探讨XSS的基本概念、分类、成因以及防范措施。 **1. XSS攻击概述** XSS攻击主要发生在Web应用中,攻击者通过注入恶意脚本到网页上,使得其他用户在浏览该网页时,浏览器执行了这些脚本,从而导致...
XSS跨站攻击课程.pdf
01-25
### XSS跨站攻击课程知识点详解 #### 一、XSS基本原理 ...通过以上知识点的学习,我们可以了解到XSS攻击的基本原理、分类、挖掘方法、利用技巧以及防御策略,这对于保护Web应用免受XSS攻击至关重要。
网络安全原理与应用:反射型XSS攻击演示.pptx
05-16
- 在DVWA的安全级别设置为Low时,攻击者可以在输入框中输入`<script>alert(/xss/)</script>`,这将导致浏览器执行注入JavaScript代码,弹出一个包含字符串"xss"的警告框。 - 当进一步输入`<script>alert...
cook xss
03-24
### XSS攻击原理与防范 XSS(Cross Site Scripting)是一种常见的Web安全漏洞,通过向网页注入恶意脚本代码,当用户浏览该页面时,嵌入其中的脚本会被执行,进而达到攻击者的目的。根据题目提供的信息,本文将详细...
XSS漏洞-常见标签
weixin_61143354的博客
09-17 1600
网络安全笔记
javascript注入
weixin_38171245的博客
12-19 62
javascript注入 <head> <title>脚本学习</title> </head><body><input type="text" id="username" /><input type="button" value="show" onclick="show()" /></...
JS代码防止SQL注入的方法(超简单)
零一
12-04 2311
1.URL地址防注入: //过滤URL非法SQL字符 var sUrl=location.search.toLowerCase(); var sQuery=sUrl.substring(sUrl.indexOf("=")+1); var re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'|"|;|>|...
XSS注入payload
05-10
XSS(跨站脚本攻击)注入的payload可以有很多种形式,下面列举几个常见的payload形式: 1. `<script>alert('XSS')</script>`:这是最简单的XSS payload,它会在页面中弹出一个警告框,显示“XSS”字样。 2. `<img src='http://attacker.com/malicious-script.js'>`:这个payload会向攻击者的服务器发送一个请求,其中包含恶意的JavaScript代码,攻击者可以利用这个代码来窃取用户的信息。 3. `<iframe src='http://attacker.com/malicious-page.html'>`:这个payload会在当前页面中嵌入一个恶意的页面,攻击者可以利用这个页面来进行各种攻击。 4. `<a href='javascript:alert("XSS")'>click me</a>`:这个payload会在用户点击链接时触发一个JavaScript代码,弹出一个警告框。 需要注意的是,这些payload只是示例,攻击者可以根据具体情况编写更复杂的payload。在编写Web应用程序时,应该注意防范XSS注入攻击,例如对用户输入的数据进行验证和过滤等措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值