xss植入_使用CSP技术解决前端XSS攻击,防止广告注入H5页面

最新推荐文章于 2024-05-13 06:49:29 发布
最新推荐文章于 2024-05-13 06:49:29 发布
阅读量621 收藏 2
点赞数
文章标签: xss植入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39683163/article/details/111775271
版权

问题由来:最近在升级公司APP中的积分功能,APP使用的是React

Native,积分部分则是嵌入的H5页面,回家测试连接上家里WIFI后测试,发现打开积分页面广告满天飞,都已经影响到我使用主要功能了,有时候还导致app强制退出。

和同事商量后,同事提高了服务器上项目文件的权限,提高到只读权限,效果稍微好一些,但还有广告,问了一下度娘,度娘说的其中一种原因是http劫持,解决办法就是加密成https,由于种种原因公司项目无法将服务换成https,则使用以下解决办法。

什么是XSS跨站脚本攻击?

XSS跨站脚本攻击是代码注入的一种,它指的是攻击者在网页中嵌入客户端脚本(例如js脚本),当用户浏览该网页时攻击脚本就会在用户的浏览器上运行,脚本就可以恶意盗取用户敏感信息、将用户重定向到其他网站、利用被攻击者身份执行一些管理操作或常规操作(如发微博、发私信)等等。

一般分为两类:

1.反射性XSS

反射性XSS,是指攻击者将脚本加入URL的参数中,

诱骗用户点击URL,服务器解析后响应,在返回的响应中隐藏和嵌入攻击者的XSS代码(如直接在页面输出脚本内容),被浏览器执行,从而攻击用户。这样的URL通常较长,容易识别,但如果攻击者使用短网址服务将网址缩短,用户就很难辨别了。

2.存储型XSS

存储型XSS是指攻击者将恶意数据提交到服务器,并且在其中嵌入攻击脚本,并且放在其他用户可以看到的地方,如评论、文章等。这样在其他用户浏览该页面时,就会从服务器请求这部分数据,从而被攻击。

最低0.47元/天 解锁文章
weixin_39683163
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H5SC, HTML5安全Cheatsheet一个HTML5相关的XSS攻击向量集合.zip
09-18
H5SC, HTML5安全Cheatsheet一个HTML5相关的XSS攻击向量集合 HTML5安全功能这是H5SC或者HTML5安全插件的新主页。 在这里你可以找到三种东西:一个 Collection 相关的XSS攻击向量一组用于XSS测试的有用文件一组以前隐藏的用于XSS测试的特性 XSS矢量可以在以下
前端安全系列:如何防止XSS攻击
01-27
前端安全领域,XSS(Cross-site scripting)攻击是最常见且危险的一种,它允许攻击者在用户浏览器上执行恶意脚本。XSS攻击通常通过注入恶意代码到网页中,利用了浏览器信任并执行来自服务器的任何HTML和JavaScript...
html广告植入保护,基于HTML5的网络视频互动广告信息植入平台设计与实现
weixin_42114645的博客
06-21 218
摘要:目前,产品信息的获取主要来自于产品广告。其中报纸、广播、电视、和网络是传递广告信息的媒体。网络视频广告是一种新兴的广告形式,它结合了传统的网络广告和电视广告的双重优势,具有独特的商业价值。随着p2p技术的不断成熟,以及宽带的日益普及,网络视频广告异军突起,并且成为一种重要的主流广告形式。 众所周知,过多的广告插播会引起很多观看电视节目、流媒体的观众反感,但是,同时也会发现观众对商品信息是有很...
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src(3)
最新发布
2401_84264610的博客
05-13 1057
公司部门安全合规改造计划,要求所有的Web站点统一添加CSP规则。对于CSP机制我只是之前在应付面试的时候背过相关的概念,并没有真正在项目中实践过。所以希望借助本次改造任务好好理解并实践CSP机制。CSP的全称是,翻译成中文就是内容安全策略。CSP是一个计算机安全标准,通过定义允许在置顶网络应用中加载的来源类型,以保护网页不受跨站站点脚本XSS和数据注入攻击等安全攻击。它的基本工作原理其实就是白名单机制,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源,不在指定范围内的通通拒绝。
防止xss攻击的方式
book_1992的专栏
12-01 611
1.原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 2.过滤的思想:将输入内容中的script标签js代码过滤掉。 特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。 通常使用htmlpurifier插件进行过滤 说明:htmlpurifier插件,会过滤掉scr.
xss植入_XSS攻击
weixin_39616367的博客
12-21 109
XSS攻击定义XSS Cross Site Scripting 跨站脚本攻击XSS攻击原理它允许恶意web用户将代码植入到提供给其它用户使用页面中1.攻击者对某含有漏洞的服务器发起XSS攻击(注入JS代码)2.诱使受害者打开受到攻击的服务器URL(邮件、留言等,此步骤可选项)3.受害者在Web浏览器中打开URL,恶意脚本执行。XSS攻击攻击方式1.反射型发出请求时,XSS代码出现在URL中,作为...
HTML赋值,防止外部注入方法!
weixin_30722589的博客
11-14 148
对于HTML中项目文字的内容设定可能有一下3中方式:$(newOccurPos).text(jsonArray["table_lstRow"][rowData].OccurPos);$(newOccurPos).html(jsonArray["table_lstRow"][rowData].OccurPos);newOccurPos.innerHTML=jsonArray["table_lst...
预防XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
防止XSS攻击解决办法
01-20
XSS(Cross-site scripting)攻击是一种常见的网络安全威胁,它利用了网站对用户输入的不当处理,使得攻击者能够注入恶意脚本,进而控制或者窃取用户的浏览器数据。防止XSS攻击是保护Web应用安全的重要一环,对于...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
PDO防注入
A9925的专栏
04-19 447
http://www.jb51.net/article/56612.htm <?php $pdo = new PDO("mysql:host=192.168.0.1;dbname=test;","root"); $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);//这是我们刚加入的内容 $st = $pdo->prepare(
专冶各种H5的嵌入垃圾广告!
JessicaLi的博客
02-26 547
公司的H5页面挨嵌入各种各样的广告,有时有,有时没有,这个很烦人,问过许多大咖,有几种说法和几种解决方法 1.DNS劫持 。 HTML5页面被电信运营商进行DNS劫持植入广告,建议打电话给电信运营商。这招我试过,不管用,他们都在踢皮球,到底是运营商或代理商干的,,还是内部人干,很难追求到源头。 2.HTTP劫持 。 可能也有这个原因,建议使用HTTPS, HTTPS成本不算高, 一年几百块...
移动端H5页面 广告劫持怎么办 怎么去广告
a314753967的博客
06-23 6415
嵌入的代码基本都是iframe,把以下js代码加入 body标签内,以删除iframe(记得用script标签包裹)//以下代码为删除嵌入广告 var del_times = 0, deTimer = null; function adGo() { var iframe = document.getElementsByTagName('iframe...
html5 新标签xss,HTML5安全攻防详析之七:新标签攻击
weixin_39620578的博客
06-16 198
HTML5去掉了很多过时的标签,例如``和,同时又引入了许多有趣的新标签,例如``和``标签可以允许动态的加载音频和视频。HTML5引入的新标签包括`、、、、`等等,而这些标签又有一些有趣的属性,例如poster、autofocus、onerror、formaction、oninput,这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。下面我们要讲到就是这些关键载体...
html5 新标签xss,HTML5 localStorageXSS漏洞
weixin_30054007的博客
06-16 393
localStorage基础WindowlocalStorage属性HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。顾名思义:sessionStorage 是针对session的数据存储,关闭窗口后删除。localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP语法:window.localStor...
防止xss攻击h5标签转义
Madman528的博客
07-12 516
安装xss,然后后端把script标签转义了 入库的时候变成这样 前端如何把标签转义 安装lodash 取一个暂时值双向绑定,用计算属性转义返回绑定要提交的值然后就成了这样子 咋办,用v-html 变成这样
手机网页html怎样阻止广告,Webview拦截广告
weixin_30259017的博客
06-30 645
引言Web背景知识web三剑客 html + css + javascript1、html是用来描述网页的一种语言,它不是一种编程语言,而是一种标记语言(标记标签),总的来说,html使用标记标签来描述网页,本文就用标签来代替标记标签进行说明。标签是指,标签里可带有各类属性,最基本的就是class和id。class属性的作用是引用css样式,id的作用是配合javascript使用,具有唯一性。若...
手把手教你CSP系列之script-src
菜鸟路上的小白
08-04 3199
HTTP Content-Security-Policy(CSP)script-src指令为JavaScript的源指定有效来源。这不仅包括直接加载到。
前端安全之XSS攻击(跨域脚本攻击)
热门推荐
业余丰富各种技术栈
08-18 2万+
前端安全之XSS攻击,以及常用防范XSS攻击解决方案
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值