Javascript 输入框 xss注入 以及防范

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u013338742/article/details/53440237

注入

类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js;

例如:
<input type="text" value="$var">

输入的内容如果是
" onclick = "javascript_function()" >
在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js

<input type="text" value="" <!-->
...

<input type="text" value="" --> onclick="function eval()" >
还看到MySpace的蠕虫的构建方式, 其中的方法也真是巧妙地避开了所有的限制规则:
比如限制了 javascript,onreadystatechange等等关键字以及 iframe, script,style等等标签;
但是,这并不表明木有漏洞了;
其中, 可以使用拼接字符串的方式,将字符串拼接起来:
<input type="text" value="" style="background:url(expr)" expr="document.getElementById('id').onready"+"statechange">

防范:
采取完全不信任用户输入的心态去对待,前端过滤特殊字符, 类似 ” ’ & * ^ ! 等等;

 var reg = /\~|\!|\!|\@|\#|\$|\^|\¥|\%|\…|\&|\*|\(|\)|\—|\+|\{|\}|\“|\”|\《|\》|\?|\?|\<|\>|\'|\"/g;
 $("#ind_name").val($(this).val().replace(reg, ""));

将输入内容进行编码:

encodeURIComponent

还得防范css的xss, 比如: Img的src属性, 就可以实现将用户的隐私发送到指定地址;
background的url 也可以实现蠕虫攻击(Facebook和微博都发生过)
但主要防范还是要在后端,后端必须过滤输入和输出, 对特殊字符 < > script 等等更是要防范,还有就是对cookie设置
httponly:true
标识符;

展开阅读全文

没有更多推荐了,返回首页