xss-跨站脚本攻击-后台传给前端的html标签安全显示

最新推荐文章于 2024-05-13 12:10:52 发布
最新推荐文章于 2024-05-13 12:10:52 发布
阅读量630 收藏
点赞数
文章标签: 前端 后端 python ViewUI
原文链接:http://www.cnblogs.com/daliangtou/p/5368497.html
版权

作用

后台拼接的html字符串传到前端,默认是不安全的,需要告诉前端这个字符串是安全的,可以正常显示html标签。


知识点

1、定义

恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。


2、工作流程

1)恶意用户,在一些公共区域(例如,建议提交表单或消息公共板的输入表单)输入一些文本,这些文本被其它用户看到,但这些文本不仅仅是他们要输入的文本,同时还包括一些可以在客户端执行的脚本。如:
1
2
3
<script>
     获取session,cookie,伪造成用户。。。。
</script>
2)恶意提交这个表单
3)其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。

三种解决方法​

后台拼接字符串传到前端不显示问题​

1 传到前端是个变量

1
{{ 变量 | safe }}

2 需要simpletag处理的数据不能加safe

1
2
3
{% autoescape off %}
     {% 模板引擎函数 函数参数 %}
{% endautoescape %}

3 后端传往前端前就标记为安全的​

marksafe()

1
2
from django.utils.safestring import mark_safe
return mark_safe(传到前端的html字符串)




















转载于:https://www.cnblogs.com/daliangtou/p/5368497.html

weixin_30951231
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB漏洞测试——HTML注入及XSS注入
勇敢( ఠൠఠ ),不怕困难
07-15 3889
HTML注入 原理 目前我们所接触展示页面基本上都是由html来实现的,那么后台在处理内容的时候,是对html很少处理的,如果用户刻意通过输入框、文本框、查询框来填写html、js代码(脚本注入),那么就会造成漏洞,若填写恶意网站,病毒网站,这样是很恐怖的。 举个栗子 新建项目标题中添加html标签注入测试 结果:真的变成了一个链接 点击这个连接可以跳转过去,如果不是百度的连接,而是恶意网站呢 功能快捷键 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/C
XSS小技巧
积累,在于坚持
01-20 971
1、在DOM Based XSS时,可以使用//来注释不需要的符号 2、通过\转义双引号,当返回页面为GBK/GB2312时,“%cl\”两个字符组合在一起,会成为一个Unicode字符。可利用此编码规则进行XSS攻击 3、有些产生XSS的地方有变量长度的限制,可以用以下方式绕过: 利用事件把XSS Payload写到别处,再通过简短的代码加载这段payload(最常用的是将代码放在
21、XSS--跨站脚本攻击
WX公众号-小白学安全
03-31 3962
XSS概述 ​ Cross Site Scripting – 跨站脚本攻击,为了和CSS层叠样式表区分,故称跨站脚本攻击XSS跨站脚本攻击是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页面之时,嵌入Web页面中的Script代码就会被执行,从而达到恶意攻击用户的目的 本质 ​ 用户输入的数据被当作代码代码执行 形成原因 ​ 主要原因是页面对输入和输的控制不够严格,导致“精心构造的脚本代码”输入后,被浏览器当作有效代码解析执行从而产生危害 危害 盗取用户Cookie 钓鱼攻击
【网络安全 前端XSS防护】一文带你了解HTML的特殊字符转义及编码_xss特殊字符替换
最新发布
2401_84970385的博客
05-13 863
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
防止xss攻击方法之一 —— html正向转义
weixin_56654424的博客
07-20 412
防止xss攻击方法之一
前端安全性问题——XSS跨域脚本攻击
godming的博客
12-06 542
XSS跨域脚本攻击 安全圈内有一句非常有名的话:所有的输入都是有害的!这句话把XSS漏洞的本质体现的淋漓尽致。 原理 无需登录认证,核心原理就是向你的页面注入脚本。 反射型:发请求时,XSS代码现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。 存储型:存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务端...
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
前端顽疾--XSS漏洞分析与解决.ppt
05-07
XSS 漏洞是一种常见的前端安全问题,指的是攻击者在 Web 应用程序中注入恶意脚本,以欺骗用户或窃取用户信息。XSS 漏洞的危害非常高,黑客可以通过 XSS 漏洞盗取用户的敏感信息,或者执行恶意操作。 1. 非持久性 ...
前端学生作业毕设实训素材-企业通用源码.zip
04-08
6. **安全考虑**:了解基本的Web安全知识,如防止SQL注入、XSS攻击等。 7. **文档编写**:撰写设计报告和论文,解释你的设计思路、实现过程及技术难点。 通过实践这些步骤,你不仅可以完成毕业设计,还能提升前端...
蓝色安全漏洞检测系统后台模板
03-13
8. **安全漏洞检测**:系统可能包含各种检测工具和技术,如SQL注入检测、跨站脚本检查、弱口令扫描等,以全面评估网络安全状况。 9. **API接口**:模板可能预设了与后端服务通信的API接口,方便进行数据交换和功能...
S-CMS政府建站系统PHP版(含小程序) build20190228
10-03
- **安全防护**:具备防止SQL注入、XSS攻击等常见安全防护机制,保障网站运行安全。 5. **安装与更新**: 包含的s-cmszf_v1.0228文件可能是系统的安装包或更新包,用户可以通过这个文件进行系统的部署或升级,...
后台管理开发-1-网页源码.rar
01-08
9. **安全性**:后台管理系统的安全性至关重要,应防止未授权访问、XSS(跨站脚本)和CSRF(跨站请求伪造)等攻击。这需要实施身份验证、授权策略,以及对用户输入的有效性检查。 10. **性能优化**:为了提升用户...
后端如何转义html,js脚本,防止xss攻击
qq_30503389的博客
04-19 670
具体来说,escapedString变量中包含了HTML转义字符编码,如"
3-12xss防范措施及href和js输点的案例演示
山兔的博客
04-29 1189
XSS常见防范措施 总的原则:输入做过滤,输做转义  过滤:根据业务需求进行过滤,比如输入点要求输入手机号,在后端写一个逻辑,只允许输入手机号格式的数字。  转义:所有输前端的数据都根据输点进行转义,比如输html中进行html实体转义,输入到JS里面的进行js转义。 案例演示 我们选择xss之href输,这个地方,我们直接看源码 如果你输入的内容,不是百度,它会把你输入的内容,用htmlspecialchars()进行处理,同时它这里也用了ENT_QUOTES这么个类型,这意味着’"&
解决xss转义导致转码的问题
weixin_39555954的博客
08-15 1339
解决xss转义导致转码的问题
html页面之间的数据传递
AlexKate的博客
11-19 4629
1.第一个页面携带数据---?id="+rows[0].id; var rows = $("#grid").datagrid('getSelections'); if (rows.length == 1) { location.href = "promotion_add.html?id="+rows[0].id; } else { $.messager.alert("警告", "请选择
Java接口xss,Java审计之XSS
weixin_42510567的博客
03-22 1582
Java审计之XSS篇0x00 前言继续 学习一波Java审计的XSS漏洞的产生过程和代码。0x01 Java 中XSS漏洞代码分析xss原理xss产生过程:后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。XSS代码分析在php里面会使用echo对用户输入的参数进行直接输,导致了xss漏洞的产生。而在Java里面会将接收到的未经过滤的参数共...
XSS攻击
summer_fish的专栏
04-11 2510
前端有哪几种攻击方式? XSS攻击 CSRF攻击 点击劫持 URL跳转漏洞 什么是XSS攻击XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当用户(被攻击者)登录网站时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈。 XSS的本质:恶意代码未经过滤,与网站的正常代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在
【应用安全xss二】xss攻击介绍和防范(前端
qq_35789269的博客
04-07 3371
本文我们会讲解 XSS ,主要包括: XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前,我们先提一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。 如果你还不能确定答案,那么可以带
反射性xss攻击实例
05-25
反射型XSS攻击是指攻击者将恶意脚本注入到URL中,当受害者点击带有恶意脚本的URL时,该恶意脚本就会在受害者浏览器中执行,从而达到攻击目的。下面是一个反射型XSS攻击的实例。 假设有一个搜索功能,用户在搜索框中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值