xss输入前对输入内容进行处理和跨域浏览器设置

已于 2022-10-18 15:13:26 修改
阅读量386 收藏 1
点赞数
分类专栏: VUE 文章标签: xss javascript 前端
于 2022-09-26 22:24:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57246351/article/details/127062331
版权

关键代码

  htmlEncode(handleString) {
      return handleString
        .replace(/&/g, '&')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;')
        .replace(/ /g, '&nbsp;')
        .replace(/\'/g, '&#39;')
        .replace(/\"/g, '&quot;')
    }

<template>
  <div>
    <el-form ref="form" :model="form" label-width="80px">
      <el-form-item label="活动名称">
        <el-input v-model="form.name"></el-input>
      </el-form-item>
      <el-form-item>
        <el-button type="primary" @click="onSubmit">立即创建</el-button>
        <el-button>取消</el-button>
      </el-form-item>
    </el-form>
    <!-- <p v-html="">{{this.form.name}}</p> -->
    <p v-html="this.form.name"></p>
    <p v-html="this.demob"></p>
    <p v-html="this.demoa"></p>
  </div>
</template>

<script>
export default {
  data() {
    return {
      demoa: '',
      demob: '',
      form: {
        name: 'lll',
        region: '',
        date1: '',
        date2: '',
        delivery: false,
        type: [],
        resource: '',
        desc: ''
      }
    }
  },
  //   watch: {
  //     this.form.name{
  // console.log('aaaaa');
  //     }
  //   }
  watch: {
    // 注意:只能是简单的路径,不支持表达式。
    'form.name'(newValue) {
      // ...
      console.log('ccccc')
    }
  },

  methods: {
    onSubmit() {
      console.log('submit!')
      console.log('this.form.name', this.form.name)
      this.demob = this.form.name
      if (this.form.name) {
        // const aa = this.htmlEncode(this.form.name)
        // console.log('aa', aa)
        this.demoa = this.htmlEncode(this.form.name)
      }
    },
    htmlEncode(handleString) {
      return handleString
        .replace(/&/g, '&amp;')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;')
        .replace(/ /g, '&nbsp;')
        .replace(/\'/g, '&#39;')
        .replace(/\"/g, '&quot;')
    }
  }
}
</script>

<style></style>

前端模拟xss

<template>
  <div>
    <h1>xss攻击</h1>
    <input type="text" v-model="text">
    <button @click="addSumit">评论</button>
<!-- <img src="23" onerror='alert("被攻击了")' alt=""> -->
    <ul>
      <li v-for="(item,index) in msgList" :key="index">
        <span v-html="item"></span>
      </li>
    </ul>
  </div>
</template>

<script>
export default {
  data () {
    return {
      text: '',
      msgList: []
    }
  },
  methods: {
    addSumit() {
      let arr = []
      arr = localStorage.getItem('item')
      arr = JSON.parse(arr)
      !arr && (arr = [])
      arr.push(this.text)
      this.msgList = arr
      this.text = ''
      localStorage.setItem('item', JSON.stringify(arr))
      console.log('this.msgList', this.msgList)
    }
    // addSumit() {
    //   let arr = []
    //   localStorage.setItem('item', JSON.stringify(arr))
    //   arr = localStorage.getItem('item')
    //   arr = JSON.parse(arr)
    //   !arr && (arr = [])
    //   arr.push(this.text)
    //   this.msgList = arr
    //   this.text = ''
    //   localStorage.setItem('item', JSON.stringify(arr))
    //   console.log('this.msgList', this.msgList)
    // }
    // addSumit() {
    //   let arr = []
    //   arr = localStorage.getItem('item')
    //   arr = JSON.parse(arr)
    //   !arr && (arr = [])
    //   const aa = this.htmlEncode(this.text)
    //   arr.push(aa)
    //   // arr.push(this.text)
    //   this.msgList = arr
    //   this.text = ''
    //   localStorage.setItem('item', JSON.stringify(arr))
    //   console.log('this.msgList', this.msgList)
    // },
    // htmlEncode(handleString) {
    //   return handleString
    //     .replace(/&/g, '&amp;')
    //     .replace(/</g, '&lt;')
    //     .replace(/>/g, '&gt;')
    //     .replace(/ /g, '&nbsp;')
    //     .replace(/\'/g, '&#39;')
    //     .replace(/\"/g, '&quot;')
    // }

  }
}
</script>

<style>

</style>

跨域浏览器设置

D:\temp是D盘新建的一个空文件夹

"C:\Program Files\Google\Chrome\Application\chrome.exe" --args --disable-web-security --user-data-dir=D:\temp
古迪红尘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
06-12
我刚入行的时候做过一个小小的页面工具,其中有一个步骤是把一些代码输出到页面上,当时我用的是php做的,写了个for循环,读取每一行的内容,然后echo出来。但是我发现页面排版老是那么的乱,怎么缩进都没有了?有一些代码还显示不出来?这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用nbsp; &hellip;&hellip;”这时我才反应过来:“哦,原来如此&hellip;&hellip;”。那时我才知道,在html的输出上代码和内容还是得程序员自己去区分的。
数据入库优化—— 防xss攻击
weixin_34026484的博客
09-30 116
2019独角兽企业重金招聘Python工程师标准>>> ...
input框限制输入40个字符_XSS绕过WAF和字符限制
weixin_39761696的博客
12-01 676
原文: XSS WAF & Character limitation bypass like a boss几个月,我在我Twitter中分享了一个然后XSS WAF和字符限制的方法,这是一个私人的赏金项目。今天我将要分享更多的关于如何绕过的技术细节。希望对大家有所帮助。回到2019年,我那时候正测试一个Web应用程序,这个应用程序允许用户创建相册,并可以上传相片,类似下图:当我单击“...
js用户输入进行转义、反转义,防XSS攻击
qq_53066920的博客
10-03 1367
js用户输入进行转义、反转义,防XSS攻击
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_34405354的博客
07-29 768
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义 XSS攻击的防范 XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&g...
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
antisamy通过提供一套详细的策略和规则,可以对HTML、CSS、JavaScript等格式的内容进行安全处理,从而降低XSS风险。 以下是对XSS跨域攻击防范和antisamy技术的详细阐述: 1. XSS类型: - 存储型XSS:恶意脚本被...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
【HTTP协议与TCP/IP协议的关系】HTTP协议是...同时,掌握跨域XSS和CSRF的防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全。
关于python 跨域处理方式详解
01-20
浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(跨站脚本攻击 cross site scripting)和CSRF(跨站请求伪造cross-site request forgery)...
从postMessage跨域通信中发现的Facebook DOM XSS .pdf
09-05
DOM XSS并非传统的存储型或反射型XSS,而是通过修改页面的DOM结构来注入恶意脚本,这些脚本在用户浏览器中执行,对用户的隐私和数据安全构成威胁。在这种情况下,Facebook的安全漏洞就在于它未能正确过滤或转义通过`...
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
使用拦截器Filter修补输入框的xss漏洞
zyt_java的博客
02-23 1726
package cmcc.jx.ict.xsgj.filter.xss; import java.io.IOException; import java.util.Iterator; import java.util.List; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servle
XSS学习
最新发布
Forget_liu的博客
07-08 847
XSS全称是:Cross Site Script ,缩写应该是css,但为了与Css区分开,安全行业就取名为Xss中文名称:跨站脚本常见危害:盗取用户信息,钓鱼,制造蠕虫等。Xss其实是一种注入,前端语言的注入。
前端处理简单的XSS(跨站脚本攻击)防护
Future1994的博客
10-15 1082
// XSS 对应 function escapeHtml(value) { if (typeof value !== 'string') { return value } return value.replace(/[&<>`"'\/]/g, function(result) { return { '&': '&amp;', '<': '&lt;', '>': '&gt;', .
(可以绕过只能填20字符的限制了)输入框长度在XSS测试中如何绕过字符长度限制
weixin_50464560的博客
07-12 1709
大家好,这是我编写的第一篇文章,之所以会分享这个故事,是因为我花了几个晚上的时间,终于找到了解决某个问题的方法。故事如下:几个月,我被邀请参加一个非公共的漏洞悬赏项目,在初期发现了一些漏洞后,就再无收获。而在最后5天里,出于对金钱的渴望,我告诉自己必须在整个项目结束之再找到一些漏洞,因此我又从头开始梳理整个目标。这个目标是一个大型的社交网络,而转折就发生在我去创建一个新的帐户时。当我在用户名处输入一个XSS的payload时,特殊字符全不能输入,而且长度限制为20个字符。此时,我没有太好的办法,只能去寻
前端安全之-XSS(跨站脚本攻击)详解
wb199811的博客
08-17 7869
xss跨站脚本攻击一.XSS的基本概念二、XSS攻击的主要途径三、XSS的分类反射型XSS存储型XSSDOM XSS防范措施利用 CSP利用 HttpOnly 一.XSS的基本概念 XSS又叫CSS (Cross Site Script) ,为了和css(层叠样式表)区分,我们通常称它为(xss)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 xss是一种发生在web前端的漏洞,所以其危害的对象也主要
xss详解(一)
捷的博客
04-11 636
文章目录XSS详解(一)一、概述二、XSS的分类2.1反射型XSS2.2存储型XSS2.3DOM型XSS三、常见XSS攻击向量四、xss测试流程图 XSS详解(一) 一、概述 XSS(Cross Site Scripting)缩写为CSS,因易与层叠样式表CSS混淆,所以将跨站脚本攻击缩写为XSSXSS攻击(跨站脚本攻击)通常指的是通过网页开发时留下的漏洞,注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 产生的原因通常是在开发阶段没有实施过滤或净化措施、或过滤的不严格。 这些恶意网
EelemntUI中e-form表单校验的使用以及表单校验的规则
BADAO_LIUMANG_QIZHI的博客
08-13 2195
场景 Form 组件提供了表单验证的功能,只需要通过 rules 属性传入约定的验证规则,并将 Form-Item 的 prop 属性设置为需校验的字段名即可。 官方示例代码 <el-form :model="ruleForm" :rules="rules" ref="ruleForm" label-width="100px" class="demo-ruleForm"> <el-form-item label="活动名称" prop="name"> <el...
vue项目前端解决xss攻击方案
热门推荐
baogeprh的博客
12-15 1万+
项目中input框中添加验证方法 // 通过下面正则表达式验证 export function isSpecialCharacter (s) { let regEn = /[`~!@#$%^&*()_+<>?:"{}.\/;'[\]]/im let regCn = /[·!#¥(——):;“”‘、|《。》?、【】[\]]/im if (regEn.test(s) || regCn.test(s)) { return true; } else { ret
HTTP长连接与短连接:跨域XSS和CSRF解决方案解析
预防XSS通常需要对用户输入进行严格的过滤和编码,同时使用HTTP头部的Content-Security-Policy来限制脚本的执行来源。 CSRF(Cross-Site Request Forgery)是一种利用用户已登录的身份执行非预期操作的攻击。防范...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值