js 对输入内容做净化处理 防止 xss攻击

最新推荐文章于 2024-08-12 19:58:06 发布
最新推荐文章于 2024-08-12 19:58:06 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42448623/article/details/102897579
版权

XSS攻击是什么

通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
盗用cookie,获取敏感信息等

防止 xxs攻击

当你点击获取 textarea 的内容插入 dom结构时 textarea 的内容包含用户插入的js脚本
在这里插入图片描述
在这里插入图片描述

阻止方法

关于dompurify

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
    <script src="https://cdnjs.cloudflare.com/ajax/libs/dompurify/2.0.3/purify.min.js"></script>
    <style>
        .add{
            display: block;
            padding: 5px 20px;
            background-color: aquamarine;
            outline: none;
            border-radius: 2px;
            border-width: 1px;
            cursor: pointer
        }
        .textarea{
            width: 300px;
            height: 150px;
        }
        .response{
            width: 300px;
        }
        .res-header{
            color: #2ae2b8;
            padding: 10px 0;
            border-bottom:1px solid gray;
        }
        .res-body{
            margin-top: 10px;
            text-indent: 20px;
        }
    </style>
</head>
<body>
    <div class="com">
        <div>
            <textarea class="textarea" name="" id=""></textarea>
            <button class="add">add</button>
        </div>
        <div class="response"></div>
        
        <!-- <img src="https://cdn4.buysellads.net/uu/1/3386/1525189943-38523.png" alt="" onload="alert('attack')"> -->
    </div>
    <script>
        const texta = document.getElementsByClassName('textarea')[0],
            add = document.getElementsByClassName('add')[0],
            response = document.getElementsByClassName('response')[0],
            user = 'Hello';

        function sanitize(strs, ...args){
            const dirty = strs.reduce((prev, curr, i)=> `${prev}${curr}${args[i] || ''} `,'')
            return DOMPurify.sanitize(dirty)
        }

        add.addEventListener('click',function(e){
            e.preventDefault();
            const text = texta.value.trim();
            if(text){
                response.innerHTML = sanitize`
                    <div class="res-header">${user}</div>
                    <div class="res-body">${texta.value}</div>
                `
            }
        },false)
    </script>
</body>
</html>

然后用户输入的脚本就不会执行
在这里插入图片描述

tianmeng1999
关注
专栏目录
DOMPurify:DOMPurify-用于HTML,MathML和SVG的纯DOM,超快速,超级耐XSS消毒剂。 DOMPurify具有安全默认值,但提供了许多可配置性和挂钩。 演示:
02-03
净化 DOMPurify是用于HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂。 使用和入门也非常简单。 DOMPurify于,同时达到了2.2.6版本。 DOMPurify用JavaScript编写,可在所有现代浏览器(Safari(10 +),Opera(15 +),Internet Explorer(10 +),Edge,Firefox和Chrome-以及使用Blink或WebKit的几乎所有其他浏览器)中使用。 在MSIE6或其他旧版浏览器上,它没有中断。 它要么使用要么什么都不。 我们的自动化测试目前涵盖,以后还会更多。 我们还将介绍在jsdom上运行D
前端如何防止XSS攻击
HarryHY的博客
08-09 6498
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
构建坚不可摧的防线:JavaScript中防范XSS攻击的策略
最新发布
2402_85758349的博客
08-12 517
XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,这些脚本可以在用户不知情的情况下窃取信息、会话令牌或进行其他恶意操作。XSS攻击主要分为三类:反射型、存储型和基于DOM的XSS
“治疗“xss攻击的“特效药“:DOMPurify,让HTML更安全
qq_41444226的博客
05-17 1208
跨站脚本(XSS)攻击是一种常见的网站安全威胁,它通过将恶意脚本注入到网站中以窃取用户数据或利用用户的身份执行未经授权的操作。DOMPurify 是一个能够帮助前端开发者避免 XSS 攻击的 Javascript 库。DOMPurify是一个用于清洗和消毒HTML、MathML和SVG的小型和快速的库。它的目的是防止跨站脚本攻击(XSS),并确保提供的HTML是安全的,可以在网页中插入使用。
purify
03-28
purify
防止Xss脚本攻击(XssFilter)
SuperDuDu的博客
01-15 680
配置文件 package com.sdyy.cas.config; import com.google.common.collect.Maps; import com.sdyy.cas.filter.XssFilter; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springfra...
ajax xssfilter,js 前端注入文本过滤器xssfilter-js
weixin_36207513的博客
08-05 648
在前端开发中总是认为自己实现了业务代码满足了用户需求,却不知web存在的许多安全隐患,如各种的注入攻击,xss跨站脚本攻击,跨域请求伪造,以及之前提到的不安全的http,其他等等。本人写了一个对于注入攻击可以过滤注入敏感关键字的库xssfilter-js,如果觉得好的可以start,也希望您能参与贡献injectFilter.js注入攻击过滤器(兼容IE)-实现过滤文本或DOM元素中的敏感关键字防...
收录一些xss漏洞过滤方法
danfly1010的专栏
01-26 6469
一、漏洞类型说明     1、 高危漏洞     高危漏洞包括:SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。     SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改
探索Purify:一款强大的代码清理与优化工具
gitblog_00044的博客
04-26 391
探索Purify:一款强大的代码清理与优化工具 purifyAn HTML Purifier / Sanitizer for Laravel项目地址:https://gitcode.com/gh_mirrors/pur/purify 在编程世界中,保持代码的清晰和整洁是至关重要的。这就是的原因——一个旨在帮助开发者自动清理并优化JavaScript、TypeScript及Vue.js应用的工具。...
Laravel5中防止XSS跨站攻击的方法
10-21
首先,我们要了解HTMLPurifier是一个用PHP编写的富文本HTML过滤器库,它能够净化HTML代码,阻止不安全的HTML标签和属性以及JavaScript代码的执行,从而防止XSS攻击。HTMLPurifier严格遵循W3C标准,支持自定义配置,...
防止xss和sql注入:JS特殊字符过滤正则
10-27
为了防止XSS攻击,我们需要对用户输入进行净化,过滤掉可能导致脚本执行的特殊字符。 接着,我们来看SQL注入。SQL注入是攻击者通过在输入数据中插入恶意SQL语句,使得数据库执行非预期的操作,可能泄露敏感数据或...
php_XSS防攻击插件
05-29
"php_XSS防攻击插件"便是这样一种工具,它专为PHP环境设计,旨在确保从HTML编辑器或文本域获取的JS传值不包含潜在的XSS攻击代码。 **HTMLPurifier库的介绍** 在提供的压缩包中,我们看到一个名为`htmlpurifier`的...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1223
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容
XSS (跨站脚本攻击) 详解
TechEnthusiast的博客
08-07 189
XSS(Cross-Site Scripting)是一种常见的web应用程序漏洞,允许攻击者将恶意脚本注入到其他用户浏览的网页中。当受害者浏览这些被注入恶意脚本的页面时,脚本会在用户的浏览器中执行,可能导致各种安全问题。XSS攻击之所以危险,是因为它能够绕过同源策略(Same-Origin Policy),这是浏览器的一种安全机制,用于限制不同源之间的交互。
DOMPurify:一个只针对 DOM 的、超快的、宽容的 HTML XSS清理工具
前端全栈开发者
01-21 2233
是一个只针对 DOM 的、超快的、超容忍的 HTML、MathML 和 SVG 跨站脚本清理器。DOMPurify 于 2014 年 2 月发布,目前已经达到 v3.0.8 版本。DOMPurify 是用 JavaScript 编写的,在所有现代浏览器(Safari(10 ),Opera(15 ),Edge,Firefox 和 Chrome - 以及几乎所有使用 Blink,Gecko 或 WebKit 的浏览器)上都可以运行,它不会在 MSIE 或其他旧版浏览器上崩溃。
在 javascript 中清理字符串
迹忆客
07-03 382
DOMPurify 是用 JavaScript 构建的,兼容所有现代浏览器(Safari (10+)、Opera (15+)、Internet Explorer (10+)、Edge、Firefox、Chrome 等,它们使用 Blink 或 WebKit)。您可以向 DOMPurify 提供一个包含肮脏 HTML 的字符串,它会返回一个包含干净 HTML 的字符串(除非另有设置)。它采用浏览器的技术并将它们转换为 XSS 过滤器,因此如果您的浏览器更快,DOMPurify 就会更快。
DOMPurify 使用方法,如何安全地操作DOM |.sanitize()|.innerHTML|TypeScript TS
cybozu的博客
09-11 1723
你可以用充满脏HTML的字符串来输入DOMPurify,它将返回一个带有干净HTML的字符串(除非另有配置)。您的浏览器越快,DOMPurify 的速度就越快。DOMPurify是用JavaScript编写的,适用于所有现代浏览器(Safari(10+),Opera(15+),Edge,Firefox和Chrome - 以及几乎所有使用Blink,Gecko或WebKit的其他浏览器)。DOMPurify是一个仅限DOM的,超快速的,超级宽容的XSS清理器,用于HTML,MathML和SVG。
突破XSS字符数量限制执行任意JS代码
weixin_34004750的博客
03-19 195
一、综述 有些XSS漏洞由于字符数量有限制而没法有效的利用,只能弹出一个对话框来YY,本文主要讨论如何突破字符数量的限制进行有效的利用,这里对有效利用的定义是可以不受限制执行任意JS。对于跨站师们来说,研究极端情况下XSS利用的可能性是一种乐趣;对于产品安全人员来说,不受限制的利用的可能是提供给开发人员最有力的证据,要求他们重视并修补这些极端情况下的XSS漏洞。 突破的方法有很多种,但是突破的...
关于bootstrap fileinput一些的总结。
shileimohan的专栏
10-13 1912
1、boottrap fileinput 如果在标签中设置相应参数,则再JS进行初始化参数不会被执行,这个坑简直太坑了。我搞了一一晚上才发现。 总结如下: 用法 Kai edited this page on 26 Apr 2017 · 1 revision 用法 注意 如果你将一个css class='file'属性赋予input标签,插件将自动把字段[input type="fi...
前端安全实践:深度解析防止XSS攻击策略
原来,小明的页面没有对用户输入的`keyword`参数进行任何处理,导致恶意用户可以通过构造特定的URL参数,将JavaScript代码注入到页面上执行,这就是一次典型的XSS(Cross Site Scripting,跨站脚本攻击)。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值