XSS 攻击 ----防止XSS 攻击

什么是XSS攻击

  • 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
  • XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]
如下XSS攻击实例

如下代码就是原本p标签里面只包含内容文本的,但是别人偏偏就不写正常文本,他写一个img标签然后写一个循环,代码执行一直执行alert(111) 这个就叫做XSS攻击

export default function Question () {
  const content = `
    <p>通过附文本编译的内容<img οnerrοr="while(1){alert(111)}" src='https://xxxxxx.com'>'></p>
    <h1>nihoa</h1>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: content }} />
    </div>
  )
}

在这里插入图片描述

解决XSS攻击

  • 使用 dompurify 对 HTML 内容进行净化处理
1.安装包
npm i dompurify
2. 在页面中调用 dompurify 来对文章正文内容做净化:
import DOMPurify from 'dompurify'
export default function Question () {
  const content = `
    <p>通过附文本编译的内容<img οnerrοr="while(1){alert(111)}" src='https://xxxxxx.com'>'></p>
    <h1>nihoa</h1>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(content || '') }} />
    </div>
  )
}

在这里插入图片描述

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值