前端安全漏洞之 XSS

最新推荐文章于 2024-05-17 01:48:00 发布
最新推荐文章于 2024-05-17 01:48:00 发布
阅读量2.1k 收藏 9
点赞数
分类专栏: 前端安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44135121/article/details/90473716
版权

前端安全漏洞之 XSS

一、概念

XSS(Cross Site Scripting)是跨站脚本攻击,即在他人站点嵌入带有攻击性的脚本。原本缩写应该是CSS,但为了与 Cascading Style Sheet(层叠样式表,也就是前端中样式CSS)区分,就将其缩写为 XSS。

二、特点

  • XSS 攻击是通过网站暴露的用户输入框进行恶意代码植入的。
  • XSS 攻击的源头是服务端过于信任客户端提交的数据,直接将数据存在服务器中。

三、示例

故事:黑客小黑常年从事秘密的网址攻击工作,这天小黑闲来无事,打开某论坛网站 A,在留言板的输入框中嵌入了恶意脚本,然后提交到服务器。老王有一天也访问了该网站,看到小黑的留言,出于好奇心点击了一下,结果弹出了本地存储的 cookie 信息。

分析:代码实现以上攻击过程。

  • 网站留言板输入框如下
<textarea placeholder="请输入你的留言" value=""></textarea>
  • 正常用户应该是输入自己的留言,但是小黑在输入框中输入了恶意脚本
<a href="javascript:alert(document.cookie)">点击这个链接,你将获得惊喜</a>
  • 此时用户的留言字段 message 的值就是以上脚本,并且被提交到了服务器永久保存了下来。
  • 当他人访问此网站,查看留言板页面时,该页面代码如下
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8"/>
    <title>留言板页面</title>
</head>
<body>
<div id="message"></div>
<!--此div用来显示从服务器获取的留言信息-->
</body>
<script>
    var data =`<a href="javascript:alert(document.cookie)">`;
    //该data理论上是从服务器调接口获取到的,这里直接模拟已经拿到的数据。
    var message = document.getElementById('message');
    message.innerHTML = data;
</script>
</html>
  • 可以看到该页面包含了脚本信息<a href="javascript:alert(document.cookie)">,用户一旦点击,就会弹出本地保存的 cookie 信息。

总结

XSS攻击发生的步骤如下:

  • 攻击者在公开网站的输入框中嵌入恶意脚本;
  • 该恶意脚本被作为值存储到服务器;
  • 其他人访问该网站,网站会自动从服务器拉取恶意脚本并运行,或者诱导用户运行。

注意:执行脚本的核心代码是使用了 innerHTML 进行页面脚本填充,如果使用 textContent 就会将脚本转化为字符串。所以在 React 中不会出现以上情况,因为 React 的源码中是使用 textContent 来设置文本内容的。

React 代码如下:

<div id="example" ></div>
<script type="text/babel">
    class App extends React.Component {
        render() {
            var content = `<a href='javascript:alert(document.cookie)'>点击</a>`;
            return (
             <div>{content}</div>
            )
        }
    };
    ReactDOM.render(<App/>, document.getElementById('example'));
</script>

界面显示如下:
直接显示的文本
React 源码内容:

var setTextContent = function (node, text) {
    node.textContent = text;
};

四、攻击脚本标签

  • a 标签
<a href=javascript:alert('xss')>点击有惊喜</a>  
//这里单双引号,或者去掉引号均可;点击之后页面弹出'xss'。
  • img 标签
<img src='#' onerror='alert(1)'/>
//打开嵌有本脚本的页面直接弹出'xss';
  • iframe 标签
<iframe src=javascript:alert('xss')></iframe>  
//打开嵌有本脚本的页面直接弹出'xss';

小结

  • a 标签通过 href 属性点击执行。
  • img标签与iframe标签分别通过onerror方法和src属性直接执行。
  • 任何标签都可以通过onmouseover、onclick等事件异步执行。

五、防范

理解了跨站脚本攻击之后,应该如何防范呢?

  1. 在所有需要进行提交的信息中,都进行模式匹配检查,一旦发现"javascript"关键字,就过滤掉。
  2. 对于用户提交的信息进行强校验,比如用户名,密码,URL、邮箱等信息进行符合规则的校验。
  3. 设置页面内容尽量使用 textContent 属性而不是 innerHTML属性。

六、其他

在前端领域中与 XSS 类似的还有 CSRF,想要了解的可以参考前端安全漏洞之 CSRF前端安全漏洞 XSS 与 CSRF 异同

杏子姐_1024
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
前端安全: 如何防止 XSS 攻击?
学习真香
06-27 4075
前端安全: 如何防止 XSS 攻击? 分享简介 今天想分享给大家的是 如何防止 XSS 攻击. 为什么想分享的原因是: 感觉大家对前端安全了解不够, 重视不够. 内容是: 什么是 xss, 常见 xss 的类型. 并且通过小游戏来实践. 如何去防止 xss 攻击 如何利用 XSS 进行攻击 什么是 XSS 攻击 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信
web漏洞XSS_TEST漏洞实践练习代码
04-25
Web漏洞中的XSS(Cross Site Scripting)攻击是一种常见的安全问题,主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...
innerHTMLXSS攻击
hhhh
04-30 3997
HTML5为所有元素提供了一个innerHTML属性,既能获取对象的内容又能向对象插入内容 属性值:HTML标签/文本 浏览器会将属性值解析为相应的DOM树 HTML解析器在浏览器中是底层代码比JavaScript方法快很多,同时意味着替换元素上的关联事件处理程序和JavaScript对象需要手动删除。 插入script和style元素的时候需要看具体的浏览器 XSS攻击 outerHTML ==innerHTML定义的DOM树+自身元素 innerText与outerHTML: innerText:后代
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
最新发布
2401_84969054的博客
05-17 422
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
前端xss攻击——规避innerHtml过滤标签节点及属性
热门推荐
编程知识分享,主打前端
04-01 1万+
大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
xss攻击-面向前端的安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
02-28 1315
文章目录
处理v-html的潜在XSS风险
lj1530562965的博客
09-25 1621
没有进行防止xss攻击的例子 <p v-html="test"></p> export default { data () { return { test: `<a οnclick='alert("xss攻击")'>链接</a>` } } 结果,js事件被执行,弹出弹框,我们要杜绝这种情况,保留a标签,拦截onclick事件 解决办法 法一: 使用一个xss的npm包来过滤xss攻击代码,给指令的value包上一层xss
网络安全学习笔记——XSS漏洞
just do it
11-22 1619
XSS(Cross-site scripting)跨站脚本攻击。(缩写为CSS,但会与层叠样式表 Cascading Style Sheets 混淆,故称XSS)通常发生在客户端,可被用于进行窃取隐私,钓鱼欺骗,窃取密码,传播恶意代码等。
前端开源库-xss-filters
08-29
使用这个开源库的好处在于,它可以帮助开发者遵循"防御性编程"的原则,减少安全漏洞的出现。同时,由于是开源的,开发者可以查看其源代码,理解过滤逻辑,并参与到项目的改进中去。社区的支持也意味着该库会随着新的...
前端安全系列:如何防止XSS攻击
01-27
使用自动化工具进行安全扫描和测试,如XSS auditor和OWASP ZAP,可以辅助发现潜在的安全漏洞。同时,持续关注最新的安全实践和技术,如HTTP的Same-Site Cookies特性,可以进一步提升应用的安全性。 总结来说,XSS...
express中间件当做前端服务器的安全漏洞处理
02-27
然而,如果不正确配置或使用中间件,可能会引入安全漏洞。本篇文章将深入探讨Express中间件中可能存在的安全问题,并提供一些处理这些问题的方法。 一、Express中间件的理解与使用 Express中间件是一种函数,它接收...
前端xss报警平台
10-15
前端XSS报警平台是一款专注于检测和防御Web应用中跨站脚本(Cross-Site Scripting,简称XSS)攻击的工具。...在实际使用过程中,团队应当结合代码审计、安全测试和定期的安全培训,以构建全面的前端安全防护体系。
InnerHTML属性的XSS利用
士心的博客
07-26 1770
0x0前言 之前一直对于反射型和DOM型XSS的区别分不清楚,没有好好深入理解,短浅的将DOM型XSS归为反射型的一种。最近因为要写一下靶场,所以特别深入了一下,发现他们最大的区别就是反射型是经过后端的,它经过后端处理后返回至前端,而DOM型则是通过JS直接操作DOM树来完成的,它不经过后端。正是因为不经过后端,而大部分的过滤操作都是在后端进行,前端往往被忽略,所以在大型厂商它存在的概率甚至比反射型还大。 例如某知名安全平台就出现过一个DOM型xss漏洞: “灯下黑”挖出国内知名安全平台某BUF的xss漏洞
XSS跨站脚本攻击漏洞
追求卓越
12-23 1141
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在网站中植入恶意的脚本代码,当其他用户访问该网站时,这些脚本代码会在用户的浏览器中执行。这可能会导致严重的安全后果,比如窃取用户的敏感信息,欺骗用户,或者在用户的浏览器中执行恶意操作。XSS漏洞通常出现在网站中输入数据未经过滤或者不当过滤的情况下,攻击者可以通过向网站发送带有恶意脚本的数据,使得脚本在用户的浏览器中执行。在反射型XSS中,攻击者向网站发送一个带有恶意脚本的URL,当其他用户点击该URL时,恶意脚本就会在用户的浏览器中执行。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 1381
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 3344
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
XSS漏洞(全网最详细)
qq_61553520的博客
04-20 3366
反射型XSS:主要体现在URL里,但是一次性的存储型XSS:主要关注网站一些类似留言框,评论的地方DOM型XSS:与其说是XSS更像是逻辑漏洞,主要需要对前端代码进行审计,需要懂js代码!!
XSS攻击的简单总结-(基础篇)
拯救世界的光太郎
03-26 1220
声明:本文并非本人原创。本人水平有限,但是又想看一些难度不会过高,但是又有一定广度的文章。在浏览一些博客后,整理了一个可以满足和我有同样需求的文章,供广大同学参考。 如有侵权,请联系本人,定立即删除。文章末尾附有摘取文章的链接,想深入了解的同学可以再深入学习一下。 一、什么是XSS注入? Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Co..
网站常见漏洞-- XSS攻击
weixin_33754913的博客
11-15 241
跨站攻击,即CrossSiteScriptExecution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。很多人对于XSS的利用大多停留在弹框框的...
Web前端安全:XSS与CSRF深度剖析
XSS攻击是一种常见的Web应用安全漏洞,允许攻击者注入可执行的脚本到页面中,进而影响其他用户。攻击者通常通过注入恶意代码来盗取用户的敏感信息,如cookies,进而登录后台或执行更复杂的操作,如getshell和内网...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值