在React项目中利用 Symbol 防止 XSS 攻击的小技巧

最新推荐文章于 2024-07-05 11:43:07 发布
最新推荐文章于 2024-07-05 11:43:07 发布
阅读量331 收藏
点赞数
分类专栏: react 前端 文章标签: react.js xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45215308/article/details/131459047
版权
前端 同时被 2 个专栏收录
107 篇文章 5 订阅
订阅专栏
react
4 篇文章 0 订阅
订阅专栏
XSS攻击是通过注入恶意脚本到网页中执行,分为存储型、反射型和DOM型。React使用Symbol.for(react.element)来标记元素,防止服务器返回的JSON数据被误解析为React元素,增加了一层安全性。这种方式可以避免潜在的XSS攻击,因为JSON不支持Symbol类型。
摘要由CSDN通过智能技术生成

什么是XSS 攻击

XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本代码,使其在用户的浏览器中执行。这种攻击利用了网页应用程序对用户输入的不充分验证和转义,使得攻击者能够在受害者的浏览器上执行恶意脚本。

XSS攻击通常分为以下三种类型:

  1. 存储型XSS:攻击者将恶意脚本代码存储在目标网站的数据库中,当用户访问包含该恶意代码的页面时,代码会从数据库中提取并在用户浏览器中执行。
  2. 反射型XSS:攻击者将恶意脚本代码作为参数附加到受害者的请求URL中,服务器将参数返回给用户的浏览器,并在浏览器中执行。这种类型的攻击通常通过诱使用户点击包含恶意链接的欺骗性电子邮件或社交媒体消息来实施。
  3. DOM型XSS:攻击者通过修改网页的DOM(文档对象模型)来执行恶意脚本代码。这种类型的攻击不依赖于服务器端的漏洞,而是利用了网页前端代码中的漏洞。

XSS攻击可能导致以下危害:

  • 盗取用户的敏感信息,如登录凭据、会话令牌等。
  • 欺骗用户进行某些操作,如转账、更改密码等。
  • 修改网页内容,篡改页面显示,传播虚假信息。
  • 在受害者的浏览器上执行任意恶意操作,如下载恶意软件或进行网络钓鱼攻击。

为了防止XSS攻击,我们需要对用户输入进行适当的验证、过滤和转义,以确保输入内容不会被解释为恶意脚本代码。

利用 Symbol 防止 XSS 攻击

我们都知道,React 元素是一个 plain object:

 let el = {
   type: 'marquee',
   props: {
     bgcolor: '#ffa7c4',
     children: 'hi',
   },
   key: null,
   ref: null,
   $$typeof: Symbol.for('react.element'),
 }

如果你的服务器有允许用户存储任意 JSON 对象的漏洞,而前端需要一个字符串,这可能会发生一个问题:导致潜在的安全风险

 // 服务端允许用户存储 JSON
 let expectedTextButGotJSON = {
   type: 'div',
   props: {
     dangerouslySetInnerHTML: {
       __html: 'dangerous InnerHTML'
     },
   },
   // ...
 };
 let message = { text: expectedTextButGotJSON };

然后在某段 JSX 中使用了它,攻击者就可以运行我们不期望的 html 代码:

 // React 0.13 中有风险
 <p>
   {message.text}
 </p>

但是 React 在之后的版本中使用了 Symbol 标记 React 元素:

 let el = {
   type: 'marquee',
   props: {
     bgcolor: '#ffa7c4',
     children: 'hi',
   },
   key: null,
   ref: null,
   $$typeof: Symbol.for('react.element'),
 }

因为 JSON 不支持 Symbol 类型。所以即使服务器存在用 JSON 作为文本返回安全漏洞,JSON 里也不包含 Symbol.for(‘react.element’)。React 会检测 element.$$typeof,如果元素丢失或者无效,会拒绝处理该元素。

zayyo
关注
专栏目录
浅谈 React XSS 攻击
Front end development engineer
05-30 872
前端一般会面临 XSS 这样的安全风险,但随着 React 等现代前端框架的流行,使我们在平时开发时不用太关注安全问题。以 React 为例,React 从设计层面上就具备了很好的防御 XSS 的能力。本文将以源码角度,看看 React 做了哪些事情来实现这种安全性的。
2020前端面试的一点小技巧
Arui_0的博客
06-09 415
2020最全的前端面试指南,一个多月 1.8w 字的面试经验积累,凭借它最终成功入职大厂…… 今年的金三银四刚好赶上疫情,很多大公司都停止招聘甚至裁员,想跳槽的小伙伴被打的措手不及。 需求减少要求肯定随之提高,谨以此面经献给在如此艰难之时逆风而动、勇敢坚强的你~ 前言 今年问的难度和深度应该比前几年有所增加,下面从总体分析和重要点两个维度来分析一下: 总体分析 前端问的最多的还是 js基础、计算机网络基础等,建议在此处多下功夫。而 css 相关的很少问到,最多也就问个三栏布局、两栏布局、水平垂直居,把前两
React】版本18 代码遨游(八)ReactSymbols
ljinest
08-24 253
ReactSymbols 在ReactSymbolsReact定义了一些全局的Symbol变量,利用ES2016 Symbol的特性来定义各种React类型以供框架使用。 // 如果在旧浏览器无法使用Symbol或者其他兜底代码,则使用16进制来规定各种ReactType export let REACT_ELEMENT_TYPE = 0xeac7; export let REACT_PORTAL_TYPE = 0xeaca; export let REACT_FRAGMENT_TYPE = 0xea
react--使用symbol字体图标
冷月心的博客
10-17 1158
react--使用symbol字体图标
【小技巧】在React防范XSS攻击
前端全栈开发者
12-14 1742
跨站点脚本(XSS攻击是一种将恶意代码注入网页然后执行的攻击。这是前端 Web 开发人员必须应对的最常见的网络攻击形式之一,因此了解攻击的工作原理和防范方法非常重要。 在本文,我们将查看几个用 React 编写的代码示例,这样您也可以保护您的站点和用户。 示例 1:React 成功的 XSS 攻击 对于我们所有的示例,我们将实现相同的基本功能。我们将在页面上有一个搜索框,用户可以在其输入文本。点击“Go”按钮将模拟运行搜索,然后一些确认文本将显示在屏幕上,并向用户重复他们搜索的术语。这是任何允许.
React 入门儿
凹凸实验室
11-26 670
作者: 凹凸曼-风魔小次郎 谁都没有看见过风,更不用说你和我了。但是当纸币在飘的时候,我们知道那是风在数钱。 React 影响着我们工作的方方面面,我们每天都在使用它,只窥其表却难以窥其里。正所谓看不如写,本篇文章的目的就是从原理层面探究 React 是如何工作的。 工具 在写文章之前,为了方便理解,我准备了一个懒人调试仓库 simple_react ,这个仓库将 benchmark 用例(只有两个 ^ ^)和 React 源码共同放在 src 文件夹,通过 snowpack 进行热更新,可以直接在.
数据库知识深度解析:如何在JavaScript巧妙管理数据
![数据库知识深度解析:如何在JavaScript巧妙管理数据]...在JavaScript,数据类型主要分为两类:原始类型和对象类型。原始类型包括字符串(String)、数字(Number)、布尔(Boolean)、null、undefined以及Symbol和B
前端面试必备技巧(二)重难点梳理
solocoder的博客
06-05 1266
针对面试出镜率比较高的重难点知识梳理。 相比于第一篇 前端面试必备技巧,本篇文章更贴合今年的面试实际。第一篇比较全面,也比较基础,建议先看一遍上一篇再看本篇会更容易理解。 一、ES6常见用法 关于 ES6(泛指 ECMAScript 2015 及以后的版本)几乎是面试必问的,一般的问法是:“平常会使用 ES6 吗?列举几个 ES6 的用法”。 回答出来三四个就差不多了,但回答的每一个都要弄清楚,有的面试官会延伸着追问。 如果时间充足,还是建议看看 阮一峰的 ES6 入门教程 。 1.1 let 和 c
商城项目实战开发系列之前端篇:JavaScript入门与DOM操作
# 1. JavaScript基础概述 JavaScript是一种高级的、解释型的编程语言。它是一种动态类型、弱类型、基于原型的语言,主要用于为网页添加交互行为。 ## 1.1 JavaScript简介 JavaScript最初由Netscape公司的程序员...
Web前端面试题整合,持续更新【可以收藏】
jason的java世界
12-12 1475
css相关、JS相关、浏览器网络相关、vue相关、react相关、移动端相关、插件及工具相关、前端性能优化、原生通信、算法相关、node相关、计算机基础
React 深度学习:ReactSymbols
weixin_33974433的博客
06-16 985
path:packages/shared/ReactSymbols.js 源码 // 用于标记类 React元素类型的符号。 // 如果没有原生的 Symbol 符号或 polyfill,则使用普通数字进行表示。 const hasSymbol = typeof Symbol === 'function' && Symbol.for; export const REACT_E...
React源码解析——ReactVersion.js,ReactSymbols.js,ReactBaseClasses.jsReactCreateRef.js
m0_51744158的博客
10-09 417
React源码解析——012021SC@SUDSC引言ReactBaseClasses.jsxxxxxxxx1 2021SC@SUDSC 2021SC@SUDSC 引言 ReactBaseClasses.js 在我们平时写一个类组件的时候,一般都会继承一个React.Component这个基类,我们可能会觉得,这个baseClass可能封装各种各样的功能(钩子函数等等),它帮助我们运行render函数,然后最终不是我们写在里面的dom标签、子组件之类的把它们都渲染到浏览器里的这种形式。但实际是这样的吗?答案
XSS攻击及防范
橘猫吃不胖的博客
02-06 1249
XSS攻击及防范 1 什么是XSS 2 XSS类型 2.1 反射型XSS 2.2 存储型XSS 2.3 DOM型XSS 3 怎么预防XSS 3.1 纯前端渲染 3.2 转义HTML 3.3 关注高危API 3.4 其他措施
XSS 攻击的实现
weixin_58207509的博客
12-10 727
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后
保存html标签并且防止xss,前端如何避免XSS攻击
weixin_39762001的博客
06-15 1226
什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 分类类型存储区插入点存储型XSS后端数据库HTML反射型 XSSURLHTMLDOM 型 XSS后端数据库/前端存储/UR...
react 项目预防xss攻击的插件 dompurify
最新发布
weixin_42289080的博客
07-05 484
【代码】react 项目预防xss攻击的插件 dompurify。
跨站点请求伪造 (CSRF):影响、示例和预防
简介
01-12 850
跨站点请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
如何防止跨站脚本攻击XSS)和跨站请求伪造(CSRF)等安全漏洞?
m0_47946173的博客
01-19 1132
防止跨站脚本攻击XSS)和跨站请求伪造(CSRF)等安全漏洞需要采取一系列措施,以下是一些建议:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zayyo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值