防 XSS 攻击的实现

最新推荐文章于 2024-07-05 11:43:07 发布
最新推荐文章于 2024-07-05 11:43:07 发布
阅读量671 收藏 1
点赞数
文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58207509/article/details/121810377
版权
本文介绍了XSS攻击的原理和危害,强调了防止XSS攻击的重要性。为了防范这种攻击,文章提供了一种操作步骤,包括安装相关包并在页面中调用特定函数来净化文章正文内容,从而避免恶意代码的注入。
摘要由CSDN通过智能技术生成

XSS攻击

人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]

xss示例我就不说了,我现在给大家演示直接避免的方法

操作步骤

安装包

npm i dompurify @types/dompurify -D

 在页面中调用 dompurify 来对文章正文内容做净化:

import DOMPurify from 'dompurify'



// 使用 DOMPurify.sanitize对数据进行包裹
<div
  className="content-html dg-html"
  dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(后端标签数据 || '') }}
  >
</div>

捧鲜花的唐老鸭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
保存html标签并且xss,前端如何避免XSS攻击
weixin_39762001的博客
06-15 1173
什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全XSS 分类类型存储区插入点存储型XSS后端数据库HTML反射型 XSSURLHTMLDOMXSS后端数据库/前端存储/UR...
Javaxss攻击jar包
03-29
Javaxss攻击依赖jar包
在 javascript 中清理字符串
迹忆客
07-03 356
DOMPurify 是用 JavaScript 构建的,兼容所有现代浏览器(Safari (10+)、Opera (15+)、Internet Explorer (10+)、Edge、Firefox、Chrome 等,它们使用 Blink 或 WebKit)。您可以向 DOMPurify 提供一个包含肮脏 HTML 的字符串,它会返回一个包含干净 HTML 的字符串(除非另有设置)。它采用浏览器的技术并将它们转换为 XSS 过滤器,因此如果您的浏览器更快,DOMPurify 就会更快。
xss攻击,过滤标签.js
04-01
xss攻击,过滤标签.js
11-vue-dompurify-html的使用及使用过程中的问题解决
weixin_46675693的博客
06-28 765
使用了这个插件后,在测试时确实没有弹出来了,在我以为是成功的情况下,本想着做一下整理,但是更深入查找资料发现,虽然这个插件可以过滤掉xss攻击,但是不会影响其它元素渲染,但是使用后其它元素却没有渲染成功,就很奇怪。后来,我在node_modules中找这个插件的相关信息,结果被我发现在README.md中发现了一句话,意思是当前的版本是适合vue3用,vue2的话需要用4.1.x的版本。下载的版本是v4.1.4,刷新,结果没反应,重新启动,成功啦,没有弹窗,且其它元素也能成功渲染出来,果然是版本的问题。
XSS攻击
cvvvvvvvvvv的博客
12-09 186
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,
react 项目中预xss攻击的插件 dompurify
最新发布
weixin_42289080的博客
07-05 410
【代码】react 项目中预xss攻击的插件 dompurify
springboot2.x使用JsoupXSS攻击实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
XSS攻击实现
05-09
本文将深入探讨XSS攻击的原理,以及如何通过Java Spring框架中的InitBinder和自定义StringEscapeEditor类来实现有效的御措施。 XSS攻击主要分为三种类型:反射型、存储型和DOM型。反射型XSS发生在用户点击含有...
xss御之php利用httponlyxss攻击
10-26
XSS攻击,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞。攻击者通过在网页中嵌入恶意脚本代码,当用户浏览这些页面时,恶意脚本会在用户的浏览器中执行,导致攻击者可以获取用户的信息、...
.net core xss攻击御的方法
10-18
.NET Core XSS攻击御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
sanitizer-polyfill:重写构造函数参数,调用 DOMPurify,利润
07-24
规范的 Polyfill。 TODO : 这个自述文件需要一个扩展 计划: 可能会在之上使用垫片,主要将指定的配置对象重写为 DOMPurify 配置。 DOMPurify 比其他库更有趣,因为它依赖于当前浏览器的 HTML 解析行为(它构建在接口之上)。
markdown-app:使用标记和dompurify
04-08
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 yarn test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 yarn build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化内部版本,文件名包含哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 yarn eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从您的项目中删除单个生成依赖项。 相反,它将所有配置文件和传递依赖项(webpack
XSS攻击解决办法
01-20
XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSSDOMXSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
浅谈 React 中的 XSS 攻击
前端劝退师
09-29 3034
前言前端一般会面临 XSS 这样的安全风险,但随着 React 等现代前端框架的流行,使我们在平时开发时不用太关注安全问题。以 React 为例,React 从设计层面上就具备了很好的...
react之dangerouslySetInnerHTML
dtbk123的博客
04-11 740
在react中为了不让别人注入恶意的代码,它都不会自动识别带有标签的字符串,例如这样 export default class Test extends Component{ constructor(props){ super(props) this.state={html:'<div>213</div>'} } ...
在React项目中利用 Symbol XSS 攻击的小技巧
zayyo的博客
06-29 307
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本代码,使其在用户的浏览器中执行。这种攻击利用了网页应用程序对用户输入的不充分验证和转义,使得攻击者能够在受害者的浏览器上执行恶意脚本。存储型XSS攻击者将恶意脚本代码存储在目标网站的数据库中,当用户访问包含该恶意代码的页面时,代码会从数据库中提取并在用户浏览器中执行。
web安全xss攻击
weixin_40629549的博客
03-05 124
innerHTML(原生)、v-html(vue)、dangerouslySetInnerHTML(react)等直接渲染html的函数慎用,确保渲染的数据是由前端写死的、无危害的才可直接使用; 使用innerHTML(原生)、v-html(vue)、dangerouslySetInnerHTML(react)等直接渲染html的函数渲染请求数据时,需要先把字符串转义: 1)、把 > 替换...
[react] 在React中你有遇到过安全问题吗?怎么解决?
歌谣的博客
11-18 235
[react] 在React中你有遇到过安全问题吗?怎么解决? dangerouslySetInnerHTML预xss攻击 个人简介 我是歌谣,欢迎和大家一起交流前后端知识。放弃很容易, 但坚持一定很酷。欢迎大家一起讨论 主目录 与歌谣一起通关前端面试题 ...
nginx xss攻击配置
07-27
要在nginx中配置XSS(跨站脚本攻击攻击,可以采取以下措施: 1. 输入过滤:使用nginx的HttpLuaModule模块或HttpHeadersMoreModule模块,对用户输入的内容进行过滤和验证。可以使用正则表达式或其他方法过滤掉可能包含恶意脚本的内容。 2. Content-Security-Policy(CSP):通过设置CSP头来限制浏览器执行恶意脚本。在nginx配置文件中添加以下代码: ``` add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'"; ``` 这将允许只从同一域名下加载脚本,并阻止内联脚本的执行。 3. HTTP Only Cookie:在设置Cookie时,将其标记为HTTP Only,以止JavaScript访问和操作Cookie。可以在nginx配置中添加以下代码: ``` location / { ... add_header Set-Cookie "cookie_name=cookie_value; HttpOnly"; ... } ``` 4. 静态文件处理:确保通过nginx提供的静态文件服务时,不会执行任何恶意脚本。这可以通过正确配置nginx的静态文件服务来实现。 5. 安全更新和配置:定期更新nginx软件版本,以获取最新的安全修复和功能改进。同时,确保正确配置nginx的安全选项,例如限制访问权限、禁用不必要的模块等。 需要注意的是,以上措施仅为一些常见的御措施,无法完全消除XSS攻击的风险。因此,还应该采取其他安全措施,如输入验证、输出编码和错误处理等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值