在 Axios 请求拦截器中进行 XSS 过滤

最新推荐文章于 2024-05-11 14:15:05 发布
最新推荐文章于 2024-05-11 14:15:05 发布
阅读量670 收藏 2
点赞数
文章标签: xss javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43507141/article/details/129690011
版权

在 Axios 请求拦截器中进行 XSS 过滤,同时考虑 get 方法的参数使用 params,post 方法的参数使用 data 的方式:

import axios from 'axios';
import xss from 'xss';

// 创建一个 Axios 实例
const instance = axios.create({
  baseURL: 'http://example.com/api',
});

// 在请求发送前进行 XSS 过滤
instance.interceptors.request.use((config) => {
  if (config.method === 'post') {
    const data = Object.assign({}, config.data);
    for (const key in data) {
      if (data.hasOwnProperty(key)) {
        data[key] = xss(data[key]);
      }
    }
    config.data = data;
  } else if (config.method === 'get') {
    const params = Object.assign({}, config.params);
    for (const key in params) {
      if (params.hasOwnProperty(key)) {
        params[key] = xss(params[key]);
      }
    }
    config.params = params;
  }
  return config;
});

export default instance;

在这个示例中,我们创建了一个 Axios 实例,并在请求拦截器中对请求参数进行 XSS 过滤。在拦截器中,我们使用 xss 库来对请求参数进行过滤,并返回一个新的参数对象,以确保不会破坏原本的参数。具体来说,我们遍历请求参数对象的键值对,对每个值进行 XSS 过滤。如果请求方法为 post,则对请求参数的 data 进行过滤,如果请求方法为 get,则对请求参数的 params 进行过滤,否则直接返回原始请求参数对象。
for…in 循环是 JavaScript 中一种遍历对象属性的方式。在这个示例中,我们使用 for…in 循环遍历请求参数对象的属性,并对每个属性值进行 XSS 过滤。

具体来说,在 for…in 循环中,我们使用 hasOwnProperty() 方法来检查对象是否具有指定的属性。如果对象具有该属性,则对该属性的值进行 XSS 过滤。

例如,如果请求参数对象为:

const data = {
name: ‘ 替换为安全的字符串。对于 age 属性,由于其值为数值类型,因此不需要进行 XSS 过滤。

因此,for…in 循环的作用是遍历请求参数对象的属性,并对属性值进行 XSS 过滤,以确保输入数据的安全性。

悠然见南山the
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
在Vue使用axios请求拦截的实现方法
10-17
主要介绍了在Vue使用axios请求拦截,需要的朋友可以参考下
vue axios登录请求拦截器
11-27
当我们在做接口请求时,比如判断登录超时时候,通常是接口返回一个特定的错误码,那如果我们每个接口都去判断一个耗时耗力,这个时候我们可以用拦截器进行统一的http请求拦截。 1.安装配置axios cnpm install --save axios  我们可以建一个js文件来做这个统一的处理,新建一个axios.js,如下 import axios from 'axios' import { Indicator } from 'mint-ui'; import { Toast } from 'mint-ui'; // http request 拦截器 axios.interceptors.r
xss过滤拦截器
癸酉金鸡的博客
04-30 1208
SpringBoot过滤过滤get及post请求XSS和SQL注入 (推荐) package com.orchard.pomeloweb.config; import com.google.common.collect.Maps; import com.orchard.common.filter.XssFilter; import org.springframework.boot.web....
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3312
Java利用拦截器处理XSS漏洞 当应用程序的新网页包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
vuexss详细配置
沃德天,倪维胜么,捺莫帅?
09-25 3660
xss文件 import xss from 'xss'; // 导入xss包 const options = { // 白名单 whiteList:{ a: ['style', 'href', 'title', 'target'], p:['style'], section: ['style'], strong: ['style'], abbr: ["title",'style'], addres
开源项目——实现XSS过滤Cookie过滤拦截器(二)
CN華少的博客
08-23 1105
开源项目——实现XSS过滤Cookie过滤拦截器(二) 背景 日常我们开发人员在开发一些常用的平台时都会用到各种各样的接口,而对于这些接口的有效管理都会成为我们的一些麻烦事,一些常见的接口管理平台我们使用起来又不是很顺手,因此我想进行编写一个自己的API接口平台,用于我们日常的一些接口快速开发和管理共享使用。 里面会涉及到各类开发的知识,每项知识我们都会进行同步发布相应的学习记录文章,以便于想要学...
安全防范xss&csrf
qq_40934617的博客
07-04 438
安全防范 1、xss XSS即 Cross Site Scripting (跨站脚本攻击), 指的是攻击者想尽一切办法将一些可执行的代码注入到网页,利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 可以分为:存储型 XSS (也叫持久型 XSS)、反射型 XSS (也叫非持久型)。 1.1 存储型 XSS 存储型也就是攻击的代码被服务端写入进数据库 这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。具有攻
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3201
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
day2 学习vue2 笔记 过滤器 侦听器 计算属性 axios
weixin_51715424的博客
09-15 541
vue 2 学习笔记
java拦截器实现防止SQL注入与xss攻击拦截
热门推荐
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
Vue封装Axios请求拦截器的步骤
10-14
主要介绍了Vue封装Axios请求拦截器的步骤,帮助大家更好的对axios进行封装并将接口统一管理,同时为请求和响应设置拦截器interceptors。,感兴趣的朋友可以了解下
详解Vue使用Axios拦截器
12-09
需求是拦截前端的网络请求和相应。 废话不多说,直接上干货。 我用的是vue-cli3所以这个config文件是我自己创建的。 先介绍env.js //根据不同的环境更改不同的baseUrl let baseUrl = ''; //开发环境下 if (process...
SpringBoot实现xss拦截器
初学者乐园的博客
03-10 2279
SpringBoot实现xss拦截器代码demo: @Component(&quot;xssInterceptor&quot;) public class XssInterceptor extends HandlerInterceptorAdapter{ @Override public boolean preHandle(HttpServletRequest request, HttpSer...
xss和csrf其实就是一个过滤器和一个拦截器而已:放屁
u010287873的博客
06-22 2643
CSRF攻击原理及防御:https://www.cnblogs.com/shytong/p/5308667.html  CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   拦截器可以获取IOC容器的各个bean,而过滤器就不行,这点很重要,在拦截器里注入一个service,可以调用业务逻...
springboot经验之sql注入、xss注入拦截(POST)
lipeng的博客
02-08 3823
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
XSS代码分析-和简单的过滤,学习笔记
ZhangAweio的博客
04-05 415
PHP环境。
axios 拦截器
m0_60347304的博客
12-19 310
自己对axios的一个学习笔记
axios get post all 请求 数据 // axios数据请求拦截 //axios封装
weixin_68266812的博客
06-14 711
axios get post all 请求 数据axios get post all 请求 数据数据请求前端开发的使用有两种形式使用原生javascript提供的数据请求ajax( 四部曲,一般需要我们结合Promise去封装,使用不是很便利,但是效率很高 )fetch( 本身结合了Promise,并且已经做好了封装,可以直接使用 )axios介绍Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js
XSS实战漏洞挖掘
最新发布
hmysn的博客
05-11 671
接下来一年时间将会主要研究渗透测试方向的众多问题,文章的内容也会在后面定期更新。本文主要记录了一些XSS漏洞挖掘的实用心得和学习笔记。
axios请求拦截器对get请求的参数全部进行URL编码
03-27
可以在请求拦截器对get请求的参数进行URL编码,代码如下: ```javascript import axios from 'axios'; axios.interceptors.request.use(config => { if (config.method === 'get') { config.params = { ...config.params, ...Object.keys(config.params).reduce((acc, key) => { acc[encodeURIComponent(key)] = encodeURIComponent(config.params[key]); return acc; }, {}) }; } return config; }, error => { return Promise.reject(error); }); ``` 这段代码会在axios请求拦截器对所有的get请求的参数进行URL编码,然后再发送请求。具体实现是先将原有的参数和一个新的对象合并,然后对新的对象的每一个key和value进行URL编码,最后再将新的对象赋值给原有的参数。这样就可以保证所有的get请求的参数都是经过URL编码的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值