XSS 攻击 ----防止XSS 攻击

最新推荐文章于 2024-03-06 17:36:04 发布
最新推荐文章于 2024-03-06 17:36:04 发布
阅读量650 收藏 1
点赞数
分类专栏: JavaScript react 文章标签: xss 安全 javascript react.js 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58515303/article/details/121905140
版权

什么是XSS攻击

  • 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
  • XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]
如下XSS攻击实例

如下代码就是原本p标签里面只包含内容文本的,但是别人偏偏就不写正常文本,他写一个img标签然后写一个循环,代码执行一直执行alert(111) 这个就叫做XSS攻击

export default function Question () {
  const content = `
    <p>通过附文本编译的内容<img οnerrοr="while(1){alert(111)}" src='https://xxxxxx.com'>'></p>
    <h1>nihoa</h1>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: content }} />
    </div>
  )
}

在这里插入图片描述

解决XSS攻击

  • 使用 dompurify 对 HTML 内容进行净化处理
1.安装包
npm i dompurify
2. 在页面中调用 dompurify 来对文章正文内容做净化:
import DOMPurify from 'dompurify'
export default function Question () {
  const content = `
    <p>通过附文本编译的内容<img οnerrοr="while(1){alert(111)}" src='https://xxxxxx.com'>'></p>
    <h1>nihoa</h1>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(content || '') }} />
    </div>
  )
}

在这里插入图片描述

留着鼻涕敲代码
关注
专栏目录
网络安全中的XSS攻击
lzhy666的博客
04-20 470
通过系列8中同源的策略我们知道,由于其非绝对性,能通过在页面嵌入跨域资源,通过cors来来允许跨源访问和通过js中的API来实现跨文档消息机制,这些机制同时带了很多安全问题。
html注册xss防注入代码,防止恶意代码注入XSS(cross site scripting)
weixin_33504929的博客
06-09 271
防止恶意代码注入XSS(cross site scripting)发布时间:2020-06-05 10:32:55来源:51CTO阅读:570作者:津沙港湾栏目:数据库Login.PHP页面html>登录页面用户名密码LoginController.PHP页面html>登录验证//接收用户提交的用户名和密码(login.php页面提交的参数)$username=$_REQUEST[...
xss攻击和防范
qi_SJQ_的博客
08-18 339
A.PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.RemoveXss函数 B.PHP输出到JS代码中,或者开发Json API的,则需要前端JS中进行过滤: 1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容 2.必须要用innerHTML等等函数,则需要做类似php的htmlspe.
PHP防止跨站和xss攻击代码
云博客_资源宝分享
07-09 1196
这篇文章主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下 本文实例讲述了PHP实现的防止跨站和xss攻击代码。分享给大家供大家参考,具体如下: 文档说明: 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once(‘waf.php’); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接
xss-labs-master.rar
05-09
为了防止XSS攻击,开发者应遵循以下原则: 1. 输入验证:对用户提交的数据进行严格的过滤和转义,避免恶意脚本执行。 2. 输出编码:在显示用户数据时,正确地转义特殊字符,如 `、`>`、`"` 和 `'`。 3. 使用...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
最新发布
04-07
PDF-XSS实例文件
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
这样的练习可以帮助测试人员理解XSS攻击的各种形式和防御策略。 **防御XSS的措施** 1. **输入验证与过滤**:对用户提交的数据进行严格的检查,限制或禁止可能包含恶意脚本的字符。 2. **输出编码**:在显示用户...
xss-labs-master源码
07-06
这个文件可能用来演示如何在AngularJS环境中实施或防止XSS。 "chk.js"可能是用于检查用户提交的数据是否包含恶意脚本的验证脚本。在XSS防御中,客户端验证可以作为第一道防线,但更重要的防御措施应该在服务器端...
java struts2防止xss_拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式
weixin_34481252的博客
02-13 711
使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别。以下针对Struts2的XSS攻击进行拦截过滤防御解决:Struts2.3本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xml:...此处省略n个actionJava代码,拦截器实现类:importjava.util.Map;importorg...
XSS攻击防御代码的简单演示
04-25
这个是XSS攻击防御代码的简单演示,利用Node搭建的
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
jquery xss验证代码
08-13
jquery xss验证代码,以txt打开,修改http://xxx/jquery.js,保存后加载有问题的jquery,可以出现弹窗
PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】
12-18
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考,具体如下: 防XSS攻击代码: /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace(' ','',$string); $string = str_replace(''','',$string); $string = str_replace(''','',$string); $string = str_replace('*','
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
预防XSS攻击的一些方法整理
weixin_30270889的博客
07-28 629
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。 ...
xss攻击-面向前端安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
02-28 1364
文章目录
使用jQuery防范跨站脚本攻击
2301_79331328的博客
09-18 510
保持对最新安全威胁和漏洞的了解,并及时采取相应的防御措施,是确保网站和用户数据安全的关键。跨站脚本攻击是Web安全中的一个重要问题,但我们可以使用jQuery来有效地防御这种类型的攻击。通过HTML编码、移除危险标签以及使用安全的jQuery插件,我们可以增强网站的安全性,保护用户的隐私和数据安全。除了进行HTML编码,还可以移除用户输入中的危险HTML标签,从而有效地防止跨站脚本攻击。在本文中,我们将介绍一些常见的跨站脚本攻击方式,并展示如何使用jQuery进行有效的防御。变量包含一个恶意的脚本代码
xss漏洞常见攻击方式
qq_64020439的博客
03-06 1112
xss属于被动式的攻击攻击者先构造一个钓鱼网站或者是跨站网站,一般是利用Javascript方式来进行的。当用户访问该网站时,如果用户已经在该网站登录后,那么攻击者就会获取到用户的cookie,从而使得攻击者可以伪造成该用户来访问网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值