innerHTML与XSS攻击

最新推荐文章于 2024-04-30 14:12:13 发布
最新推荐文章于 2024-04-30 14:12:13 发布
阅读量4k 收藏 2
点赞数 1
分类专栏: JavaScript前端进阶 文章标签: html javascript html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43342290/article/details/115683810
版权

HTML5为所有元素提供了一个innerHTML属性,既能获取对象的内容又能向对象插入内容
属性值:HTML标签/文本
浏览器会将属性值解析为相应的DOM树
HTML解析器在浏览器中是底层代码比JavaScript方法快很多,同时意味着替换元素上的关联事件处理程序和JavaScript对象需要手动删除。

插入script和style元素的时候需要看具体的浏览器

XSS攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,
请记住两条原则:过滤输入和转义输出。

前端注意
.innerHTML、.outerHTML、document.write() 时要特别小心,不要把不可信的数据作为 HTML 插到页面上,而应尽量使用 .textContent、.setAttribute() 等。
解决跨域时候的jsonp方法也存在XSS隐患,去请求别的域,得到别的域返回的数据,万一是个脚本,就注入到自己的代码里了
如果用 Vue/React 技术栈,并且不使用 v-html/dangerouslySetInnerHTML 功能,就在前端 render 阶段避免 innerHTML、outerHTML 的 XSS 隐患。

防止cookie信息被盗
cookie中可以设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

xss与csrf区别
通常来说 CSRF 是由 XSS 实现的,CSRF 时常也被称为 XSRF(CSRF 实现的方式还可以是直接通过命令行发起请求等)。
本质上讲,XSS 是代码注入问题,CSRF 是 HTTP 问题。XSS 是内容没有过滤导致浏览器将攻击者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie,而一般网站的 session 都存在 cookie里面。

outerHTML

==innerHTML定义的DOM树+自身元素

innerText与outerHTML:
innerText:后代的所有文本
删除后代DOM树,赋值文本内容

贾明恣
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击实例1
01-11
在本实例"XSS攻击实例1"中,我们将探讨这种攻击的原理、类型以及如何在Asp.net框架下预防。 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意参数的链接,将脚本插入到...
8、XSS 攻击的防御pdf资料
10-15
XSS攻击的核心在于将恶意的JavaScript代码注入到网页中,当用户浏览含有这些脚本的网页时,浏览器会执行这些代码,导致用户受到攻击XSS攻击主要发生在用户可以输入数据的地方,如微博、留言板、聊天室等。如果...
前端xss攻击——规避innerHtml过滤标签节点及属性
热门推荐
编程知识分享,主打前端
04-01 1万+
大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。存储型XSS攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
处理v-html的潜在XSS风险
lj1530562965的博客
09-25 1631
没有进行防止xss攻击的例子 <p v-html="test"></p> export default { data () { return { test: `<a οnclick='alert("xss攻击")'>链接</a>` } } 结果,js事件被执行,弹出弹框,我们要杜绝这种情况,保留a标签,拦截onclick事件 解决办法 法一: 使用一个xss的npm包来过滤xss攻击代码,给指令的value包上一层xss
最全--跨站脚本攻击XSS)举例和预防方法
Keep trying, keep going
04-30 1407
跨站脚本攻击XSS)是指攻击者通过,从而窃取用户信息、篡改网页内容等。。
InnerHTML属性的XSS利用
weixin_34184158的博客
09-13 1068
来自:http://www.myhack58.com/Article/html/3/7/2011/32395.htm innerHTML 是个奇怪的HTML属性,不是W3C标准支持的,但几乎所有的厂商都默认支持了这样一个属性,最近一些用这个属性试验了很多,这里来分享下 innerHTML一些有意思的问题。所有的元素都有innerHTML属性,它是一个字符串,用来设置或获取位于对象起始和结束标签内...
innerhtml php变量,php – 基于DOM的XSS攻击InnerHTML
weixin_28802993的博客
03-19 108
如何确保以下基于DOM的XSS攻击?具体来说,是否有一个protect()函数,使下面的安全吗?如果没有,那么还有另一种解决方案吗?例如:给div一个id然后再为该元素分配一个onclick处理程序function protect(){// For non-DOM XSS attacks, hex-encoding all non-alphanumeric characters// with AS...
xss往html插入js代码,html()vs innerHTML jquery / javascript&XSS攻击
weixin_27541383的博客
06-18 396
我在自己的代码上测试xss攻击.下面的示例是一个简单的框,用户可以在其中键入他想要的任何内容.按下“测试!”后按钮,JS会将输入字符串显示为两个div.这是我更好地解释我的问题的一个例子:function testIt(){var input = document.getElementById('input-test').value;var testHtml = document.getEleme...
前端安全漏洞之 XSS
杏子
07-09 2113
前端安全漏洞之 XSS一、概念二、特点三、示例四、防范 一、概念 XSS(Cross Site Scripting)是跨站脚本攻击,即在他人站点嵌入带有攻击性的脚本。原本缩写应该是CSS,但为了与 Cascading Style Sheet(层叠样式表,也就是前端中样式CSS)区分,就将其缩写为 XSS。 二、特点 XSS 攻击的源头是服务端过于信任客户端提交的数据; XSS 攻击是通过网站暴露...
信息安全技术基础:XSS攻击概述.pptx
11-01
XSS攻击详解】 XSS,全称为Cross Site Scripting,中文名为跨站脚本攻击。这是一种常见的网络安全漏洞,攻击者通过注入恶意脚本到网页中,使其他用户在访问这些网页时,浏览器会执行这些脚本,从而对用户的隐私...
javascript innerText和innerHtml应用
10-29
- `innerHTML`:处理不当容易引发XSS攻击。 - `innerText`:相对更安全,不会引起XSS攻击。 3. **性能**: - `innerHTML`:可能需要更多的资源来进行DOM更新。 - `innerText`:通常比`innerHTML`快,因为它不...
谷歌搜索框XSS漫谈.pdf
08-03
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、...此外,进行定期的安全审计和使用安全编程实践,如输入验证和输出编码,也是防止XSS攻击的关键步骤。
XSS攻击的简单总结-(基础篇)
拯救世界的光太郎
03-26 1223
声明:本文并非本人原创。本人水平有限,但是又想看一些难度不会过高,但是又有一定广度的文章。在浏览一些博客后,整理了一个可以满足和我有同样需求的文章,供广大同学参考。 如有侵权,请联系本人,定立即删除。文章末尾附有摘取文章的链接,想深入了解的同学可以再深入学习一下。 一、什么是XSS注入? Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Co..
CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 &lt;script&gt; var s=""; docu...
网络安全学习笔记——XSS漏洞
just do it
11-22 1625
XSS(Cross-site scripting)跨站脚本攻击。(缩写为CSS,但会与层叠样式表 Cascading Style Sheets 混淆,故称XSS)通常发生在客户端,可被用于进行窃取隐私,钓鱼欺骗,窃取密码,传播恶意代码等。
element.innerHTML一个不起眼的属性,我对他它又重新认识了一遍
qq_49002903的博客
11-03 2187
element.innerHTML Element.innerHTML属性设置或获取HTML语法表示的元素的后代。 替换元素的内容 设置 innerHTML 的值可以让你轻松地将当前元素的内容替换为新的内容。 如下代码举例了为元素添加新的元素的操作方法: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>innerHTML 属性</tit
html标签库英文发音,innerHTML是什么意思
weixin_33140481的博客
06-19 250
1. The radio name we directly move to the Window using innerHTML.我们的电台名称,直接移动到窗口使用innerHTML。2. With the animated background removed, we are now free to insert the rendered HTML into the DIV`s innerHTM...
XSS跨站脚本攻击漏洞
追求卓越
12-23 1145
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在网站中植入恶意的脚本代码,当其他用户访问该网站时,这些脚本代码会在用户的浏览器中执行。这可能会导致严重的安全后果,比如窃取用户的敏感信息,欺骗用户,或者在用户的浏览器中执行恶意操作。XSS漏洞通常出现在网站中输入数据未经过滤或者不当过滤的情况下,攻击者可以通过向网站发送带有恶意脚本的数据,使得脚本在用户的浏览器中执行。在反射型XSS中,攻击者向网站发送一个带有恶意脚本的URL,当其他用户点击该URL时,恶意脚本就会在用户的浏览器中执行。
innerhtmlxss攻击漏洞
最新发布
06-04
innerHTML是一种常见的JavaScript属性,可以将HTML代码插入到一个元素中。但是,使用innerHTML插入的HTML代码如果不经过过滤就可能会导致XSS(跨站脚本攻击)漏洞。 XSS攻击指黑客通过注入恶意脚本来攻击网站的漏洞,其中包括利用innerHTML属性插入恶意脚本。例如,黑客可能通过innerHTML将包含JavaScript代码的链接、图片或表单输入框注入到网页中。当用户访问这个网页时,浏览器会执行这些脚本,并可能将用户的敏感信息发送给黑客。 为了避免innerHTMLXSS攻击漏洞,应该对插入的HTML代码进行过滤,以确保它不包含任何恶意脚本。另外,建议使用textContent属性代替innerHTML属性,因为它只会将纯文本插入到元素中,而不是HTML代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值