NodeJS 防止xss攻击

最新推荐文章于 2024-05-12 17:20:14 发布
最新推荐文章于 2024-05-12 17:20:14 发布
阅读量857 收藏 3
点赞数 1
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39415598/article/details/125650474
版权

本文简介

点赞 + 关注 + 收藏 = 学会了


xss 是常见的攻击方式之一,不管是前端还是后端都要对此有所防范才行。

本文主要讲解使用 NodeJS 开发的后端程序应该如何防范 xss 攻击。



xss演示

xss 攻击方式主要是在在页面展示内容中掺杂 js代码,以获取网页信息。

常见的攻击地方有:

  1. 电商产品评价区:某用户提交的评价带有 可执行的js代码,其他用户查看该评论时就会执行那段 js代码
  2. 博客网站:某用户在博客的标题或者内容中带有 可执行的JS代码 ,其他用户查看该博客时那段 js代码 就会被执行。

比如在输入框输入

<script>alert(1234)</script>

别的用户在自己页面要展示上面这段内容个,页面有可能会弹出一个弹窗。

这个例子只是弹出一个对话框,如果人家有恶意,获取 cookie 等信息,然后传给自己的服务器,那后果真的很严重。



xss防御

预防措施:转义特殊字符

特殊符号转换

& -> &amp;
< -> &lt;
> -> &gt;
" -> &quot;
' -> &#x27;
/ -> &#x2F;

上面我罗列了几个常见的特殊字符。从上面的例子可以看出,输入了 <script> 标签后,里面的内容有可能会被执行。

如果我们把 <script> 改成 &lt;script&gt; 那么浏览器就不把这段内容看成是可执行代码。


在日常开发中,我们不需要自己编写转义功能的代码,只需要下载 xss 的依赖包就行。


安装 xss 依赖包

npm install xss --save

使用 xssxss 其实是一个方法,只需要把要转义的内容传入 xss 方法即可。

const xss = require('xss')

const content = xss('<script>alert(1234)</script>')
console.log(content)

最后输出

&lt;script&gt;alert(1234)&lt;/script&gt;

以上就是 xss攻击 在后端的防御方法。


如果严谨一点的话,在前端也可以把文本域的内容里的特殊字符转义一遍再传给后端。

后端传给前端的内容有可能会在页面展示成 &lt;script&gt;alert(1234)&lt;/script&gt; ,这部分需要前端自己去处理。


插则花边新闻

之前看到有则新闻说 Vue 不安全,某些ZF项目中使用 Vue 受到了 xss 攻击。后端甩锅给前端,前端甩锅给了 Vue

后来听说是前端胡乱使用 v-html 渲染内容导致的,而 v-html 这东西官方文档也提示了有可能受到 xss 攻击。

尤雨溪:很多人就是不看文档

file



推荐阅读

👍《NodeJS mysql需要注意sql注入》

👍《NodeJS 5分钟 连接MySQL 增删改查》

👍《NodeJS Stream入门》

👍《NodeJS 操作cookie》

👍《NodeJS 5分钟 连接 Redis 读写操作》

点赞 + 关注 + 收藏 = 学会了

德育处主任Pro
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodejs学习笔记】安全:sql注入、xss攻击的概念和预防及密码加密的方式
种一棵树最好的时间是十年前,其次是现在。
10-31 1170
后端安全:sql注入、xss 攻击的概念和预防。密码加密的方法等。
node-xss:一种用于扫描网页以进行可能的 XSS 攻击的工具
05-29
关于 为了更好地理解 XSS,我决定制作这个工具。 这是我计划如何使其工作的想法。 我基于的 ###步骤 1:侦察 主要思想是检测整个站点中看到的所有输入向量。 这包括带有查询字符串、表单和 XHR 的链接。 我现在只考虑反射型 XSS 攻击。 刮除锚标签。 存储包含查询字符串的锚点的 URL ?foo=123&bar=asdf 。 存储来自锚点的所有 URL 以供抓取,进而抓取这些页面。 刮表格。 存储表单和子输入结果 URL 和参数(GET 中的查询字符串;POST/PUT/DELETE/等中的正文参数)。 查询字符串的搜索表单“操作”。 操作可能包含查询字符串,例如/signup?page=home即使它不是 GET 请求。 抓取没有表单的输入。 这些可能会使用 XHR(XMLHttpRequests;又名:AJAX)! 在 phantomjs 中运行页面并测试这些
nodejs实现websocket
03-07
nodejs实现websocket服务端和客户端,服务端会定时发送消息到客户端 下载文件 进入文件夹根目录 运行`npm install` 运行websocket服务端`node ws.js` 运行websocket客户端`node ws-client.js`
前端安全:如何防止CSRF攻击
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
网络安全面试题
@LuckY BoY的博客
08-15 716
SQL 注入攻击是一种常见的 Web 应用程序安全漏洞,攻击者通过在 Web 应用程序的输入框、搜索框、登陆框等地方注入恶意的 SQL 语句,从而获取未授权的访问权限或者窃取敏感数据。攻击者利用注入的 SQL 语句执行恶意操作,例如删除、修改、查询数据,甚至可以完全接管数据库服务器的控制权。SQL 注入攻击的原因主要是开发人员没有对用户输入的数据进行足够的过滤和验证,导致恶意代码可以轻松地插入到 SQL 语句中。对用户输入的数据进行严格的过滤和验证,确保只有合法的数据可以被插入到 SQL 语句中。
java 防止Xss、SQL注入攻击
负数
02-14 2483
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
javascript防止xss攻击
小丑鱼家的猪猪
06-11 7869
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
如何防止 js(XSS攻击 解决方法
热门推荐
昊喵喵博士
02-20 1万+
了解js (xss攻击:https://blog.csdn.net/qq_30202073/article/details/87777264 规避方法 过滤特殊字符(第一种) 避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤: PHP的htmlentities()或是htmlspecialchars()。 Python的cgi.escape()。 ...
NodeJS 第二十五章 XSS攻击和防御
aXin_li的博客
02-22 933
是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到受信任的网站中,使用户在访问该网站时执行该恶意代码。这种攻击通常发生在用户与网站交互的地方,如表单输入、评论框等。
【Node.js实战】一文带你开发博客项目之安全(sql注入、xss攻击、md5加密算法)
wangluoanquan111的博客
01-31 1063
前面,我们使用原生 nodejs 已经大体完成了 myblog 的项目,下面我们来学习一下如何为我们项目的安全保驾护航…sql注入:窃取数据库内容XSS攻击:窃取前端的 cookie 内容密码加密:保障用户信息安全(重要!我们只关注通过 web server (nodejs)层面预防至此,我们明白了如何防止sql注入、如何预防xxs攻击、以及如何为密码加密继续跟进学习吧!后续会对该项目进行多次重构【多种框架(express,koa)和数据库(mysql,sequelize,mongodb)】
nodejs如何预防xss攻击
weixin_43800535的博客
04-22 3639
nodejs如何预防xss攻击
proxytrace:尝试使用 nodejs 进行代理攻击
07-10
代理跟踪 尝试使用 nodejs 进行代理攻击 用 : sudo proxytrace 8020
nodejs 做本地web服务器
03-07
nodejs 做本地web服务器
nodejsnodejs中文文档
02-04
nodejsnodejs中文文档
防止Sql注入问题
weixin_59472231的博客
01-18 804
Sql注入(小白必看)
如何防止常见的Web应用程序安全漏洞(如SQL注入、跨站脚本攻击等)?
最新发布
wangnanofspirit的博客
05-12 565
防止常见的Web应用程序安全漏洞,如SQL注入和跨站脚本攻击XSS),是确保Web应用程序安全性的重要方面。
Node.js 项目中防止 XSS 攻击
CSDN
07-16 1724
1.SQL 注入 SQL 注入,一般是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入示例 在登录界面,后端会根据用户输入的用户(username)和密码(password),到 MySQL 数据库中去验证用户的身份。 用户输入用户名【cedric】 , 密码【123456】,在后端处理时,会进行如下 sql 语句拼接,当验证用户名和密码成功后,即成功登录。 // 用户名为 cedric , 密码为 123456 sel
Node.js 项目中解决 SQL 注入和 XSS 攻击
weixin_34186128的博客
06-08 298
1.SQL 注入 SQL 注入,一般是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入示例 在登录界面,后端会根据用户输入的用户(username)和密码(password),到 MySQL 数据库中去验证用户的身份。 用户输入用户名【cedric】 , 密码【123456】,在后端处理时,会进行如下 sql ...
nodejs express xss
05-09
输入验证可以过滤用户输入的非法字符,输出编码可以将Web页面中的敏感字符转义成安全字符,X-XSS-Protection头可以告诉浏览器在检测到XSS攻击时如何处理。 总之,Node.js和Express框架具有一定的安全性,但开发者还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值