vue xss 存在_给XSS加点S

最新推荐文章于 2024-05-13 02:38:27 发布
最新推荐文章于 2024-05-13 02:38:27 发布
阅读量1k 收藏 1
点赞数 3
文章标签: vue xss 存在
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36090220/article/details/112327611
版权

TOC:

5e3da2b653e25876748160206d247394.png

约定

  • 本文中出现由花括号包裹的内容为服务端进行 html 字符串拼接的动态内容:{ userData },在其他文章中经常表现为 <%= userData >。
  • 本文中所使用的关键词:“用户数据”,与“非受信数据”同义。

XSS 简介

XSS 是一种代码注入攻击,在受害者浏览器上注入恶意代码并执行,本质是前后端渲染不受信任的用户数据导致的安全问题。

不受信任的用户数据指的是由用户提供的数据,例如:用户在表单中输入的值,用户在 URL 中拼接的字符串等等。通常表现为恶意的 JavaScript 脚本或 CSS 脚本。

XSS 种类

通常我们把 XSS 分为三大类:存储型、反射型 以及 DOM 型。

存储型和反射型是服务单渲染(SSR)所导致的安全问题。

而 DOM 型则是客户端渲染(CSR)所导致的安全问题。

存储型【Stored XSS (AKA Persistent or Type I)】

1、顾名思义,攻击者提交的恶意数据被存储在目标站点的服务器(如数据库中)

2、受害者访问目标站点,服务端没有安全的处理用于拼接 HTML 的数据,并将有问题的 HTML 发送给浏览器

3、恶意代码在受害者浏览器中执行,受到攻击

反射型【Reflected XSS (AKA Non-Persistent or Type II)】

1、反射型与存储的区别在于,反射型是非持久性的,大多是同构 URL 的参数进行恶意代码的注入

2、受害者点击由攻击者预先设计好的恶意 URL,跳转到目标站点

3、目标站点从 URL 中取出恶意数据并拼接 HTML,再发送给浏览器

4、恶意代码在受害者浏览器中执行,受到攻击

DOM 型【DOM Based XSS (AKA Type-0)】

第一个提出 DOM 型 XSS 攻击的是 Amit Klein,DOM 型不需要服务端参与,是纯前端安全问题。从恶意数据源 到 接受并处理恶意数据的接收器都在浏览器中。

其中恶意数据源包括不限于:URL(如:document.loaction.href),HTML 元素等。

处理恶意数据的接收器如 document.write()、innerHTML、setTimeout/setInterval、eval 等等。

小结

1、如果你的项目是服务端渲染,又因为服务端渲染的内容几乎不会是纯静态的,因此我们需要注意存储型、反射型以及DOM型攻击,这些都有可能发生。

2、如果你的项目时客户端渲染,那么只需要注意 DOM 型攻击即可。

XSS 的危害

用户提供的数据,我们应该始终作为不受信任的数据处理,一旦把不受信任的数据在浏览器中执行,例如一段 JavaScript 脚本,那么该脚本将拥有完全的控制能力,它可以盗取用户私密信息,例如 cookie 等,可以改变站点的样式从而诱导“点击劫持”,这段恶意脚本可以代表用户执行任何操作。

存储型和反射型 XSS 的防御

防御 XSS 攻击没有想象的容易,但也没有想象的那么难,存储型和反射型需要服务端参与,我们接下来就讨论一下如何防御这类攻击,并给出 Vue SSR 的情况下是否会有某些问题,当然接下来介绍的某些攻击手段不仅仅会存在于 SSR 中,在 CSR 中也是有问题的,我们都会提及。

首先我们要明确一件事儿,任何安全问题都是在错误的信任用户提供的数据所导致的,因此,任何用户提供的数据都应该被特殊对待,在必要的情况下做正确的处理并展示。

1、插入到 html 标签内的用户数据

案例:

<div>{ userData }</div>

如果 userData 的内容是 '<script>alert(document.cookie)</script>'。那么最终拼接而成的字符串将是:

<div><script>alert(document.cookie)</script></div>

很显然,浏览器会弹出窗口,并展示 cookie。

防御方式:

在将 userData 展示给用户之前,要对其进行 html 转义(escape),既将如下字符转移成对应的 html 实体:

  • & → &amp;
  • < → &lt;
  • > → &gt;
  • " → &quot;
  • ' → &#x27;
  • / → &#x2f;

这样,转义后的 html 将变成:

<div>&lt;script&gt;alert(document.cookie)&lt;&#x2fscript&gt;</div>

Vue 的 SSR 或 CSR 是否存在这个问题?

无论是 SSR 还是 CSR,如果是用模板插值,即 { {}},是不存在问题的,Vue 会对数据做 html 转义,但如果使用 v-html 指令,则会存在此问题。

2、作为普通标签属性值的用户数据

这里的普通标签属性,指的是非 href/src/style 以及事件属性(例如 onlick 等)之外的其他属性。

案例:

<div value={
     userData }></div>

如果 userData 的内容为:

最低0.47元/天 解锁文章
我爱香菜
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何绕过大写过滤器实现XSS攻击
NOSEC2019的博客
10-15 1125
虽然我们不是在安全公司工作,但喜欢参加Hackerone上的漏洞悬赏项目,喜欢寻找漏洞。 而最近发现的漏洞让我感觉javascript代码中的注入漏洞的确会让人防不胜防。 我们在目标网站上找到了一个和XSS有关的漏洞,其中网页涉及到某种谷歌分析代码,可通过URL进行XSS攻击。 http://website.com/dir/subdir 以上URL的后半部分会直接出现在javascript代...
vue中使用v-html防止xss注入
aGreetSmile的博客
06-25 1957
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决了html指令存在的潜在xss攻击。3.在vue.config.js中覆写html指令。2.引入xss包并挂载到vue原型上。解决html指令存在xss漏洞问题。
vue项目 v-html存在植入xss攻击怎么解决
热门推荐
zhaoletf的博客
03-23 1万+
然后在需要使用v-html的页面,将v-html改为 v-dompurify-html即可解决xss攻击问题.但是这样写的话也是比较麻烦的,如果这个项目已经做的很大了,在一个个的去改,这样费事费力,还不易于后期开发的维护.当人员离职入职的时候容易造成交接不到位的问题. ...
Vue项目中的PDF预览及XSS攻击防护
最新发布
高性价比服务器就选:蓝易云
05-13 438
Vue.js项目中的PDF预览功能可以借助一款名为pdfjs-dist的库实现。这个库由Mozilla开发,强大且稳定,它使用JavaScript编写,将PDF文件渲染为HTML5 Canvas页面,适用于多种浏览器。通过以上方案,实现在Vue项目中的PDF预览功能和XSS攻击防护,不仅提升了用户体验,还保障了用户信息和系统安全。XSS(跨站脚本攻击)指的是攻击者注入恶意脚本到网站中,从而影响用户,泄露用户信息。例如,使用正则表达式验证表单输入内容的合法性,并对非法输入进行适当处理。
VUE框架用户提交页面信息展示与XSS攻击原理剖析------VUE框架
春风若有怜花意,可否许我再少年
12-01 976
VUE框架用户提交页面信息展示与XSS攻击原理剖析------VUE框架
XSS 绕过常用语句
Mr.Huang_的博客
09-16 2623
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
Vue_vue_
09-28
Vue.js 是一款流行的前端JavaScript框架,它以声明式的数据绑定和组件化开发为特色,极大地提高了Web应用的开发效率。在Vue的进阶知识中,我们主要关注的是`v-cloak`指令和`v-text`指令的用法,它们在解决特定问题时...
前端安全系列:如何防止XSS攻击?
02-25
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
jchat-web-master_jchat-web_Vue聊天系统_
10-03
【jchat-web-master_jchat-web_Vue聊天系统_】是一个基于JMessage SDK构建的即时通讯应用项目,它提供了完整的UI界面,让用户能够方便地进行实时通信。在这个项目中,我们主要探讨以下几个关键知识点: 1. **...
vue.js_node.js_mysql在线聊天室源码.zip
11-07
这是一个基于Vue.js、Node.js、MySQL和Socket.IO的在线聊天室源码项目,旨在提供一个实时的、交互式的在线沟通平台。以下将详细介绍这个项目所涉及的技术栈和关键知识点。 **1. Vue.js** Vue.js 是一个轻量级的前端...
使用Django简单编写一个XSS平台的方法步骤
09-19
主要介绍了使用Django简单编写一个XSS平台的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
marktext的中文包
07-21
marktext的中文包marktext的中文包
前端vue关于xss攻击的防御
Eno_Lin的博客
07-03 8094
xss攻击是什么以及原理,这个的话建议看百度官方的阅读,今天开发偶然遇到项目过安全测试,由于是富文本编辑器的代码传输到后端,后端表示无法进行过滤,在前端如何做呢,比较简单,记录一下。 在vue开发中,使用v-html输出的是html代码,而{{}}输出的则是文本,所以当你利用标签比如src属性去引入外部资源会导致安全性的问题。 在main文件里面去xss,在main文件里面去绑定原型链有利于全局的使用,然后去npm一下,然后在你有使用v-html的文件里进行带入 ...
vue项目前端解决xss攻击方案
baogeprh的博客
12-15 9973
项目中input框中添加验证方法 // 通过下面正则表达式验证 export function isSpecialCharacter (s) { let regEn = /[`~!@#$%^&*()_+<>?:"{}.\/;'[\]]/im let regCn = /[·!#¥(——):;“”‘、|《。》?、【】[\]]/im if (regEn.test(s) || regCn.test(s)) { return true; } else { ret
解决Vue-markdown编辑器加入xss之后,code标签里的代码块会被转义的问题
qq_37976966的博客
07-04 2475
mavonEditor 一、简单的介绍一下关于vue-markdown的使用 安装 npm install mavon-editor --save 引入(在main.js中全局引入) import Vue from 'vue' import mavonEditor from 'mavon-editor' import 'mavon-editor/dist/css/index.css';...
前端安全系列(一):如何防止XSS攻击?
Innocence_0的博客
02-15 1418
前端安全系列(一):如何防止XSS攻击?
vue 如何防止xss攻击 框架_前端防范xss攻击的实用方案
weixin_39848970的博客
12-22 5330
一、xss攻击原理大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢?xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框:xss攻击图1在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况:xss攻击图2为什么会酱紫呢?因为我们在说明这一栏的input,...
vue中引入vue-xss
liucai1018的博客
05-14 3006
在写需求时,有输入框,因此需要处理下xss攻击的问题。它会帮忙过滤一些攻击的代码,下面是最简单的使用,不考虑设置白名单的情况 1、下载依赖:npm install vue-xss --save 2、main.js import VueXss from 'vue-xss' Vue.use(VueXss) 3、使用 在js中 let message = xxx message = this.$xss(message) 在html中 <div v-html="$xss(message
xss防注入使用插件(vue项目中)
Eric_web的博客
04-16 1490
用了这个插件:https://jsxss.com/zh/index.html github地址:https://github.com/leizongmin/js-xss import axios from ‘axios’ import store from ‘@/store/index’ import md5 from ‘md5’ import xss from ‘xss’ import { _encryptPhone, isEmojiStr } from ‘./common’ import loadMa
vue xss包 移除了class
07-27
你可以使用 `xss-filters` 包来移除 Vue 模板中的 class 属性中的潜在 XSS 攻击代码。该包提供了一些过滤函数,可以帮助你防止跨站脚本攻击。你可以通过以下步骤使用该包: 1. 首先,安装 `xss-filters` 包。你可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值