XSS 攻击 ----防止XSS 攻击

最新推荐文章于 2024-05-14 18:45:00 发布
最新推荐文章于 2024-05-14 18:45:00 发布
阅读量482 收藏 1
点赞数
分类专栏: JavaScript react 文章标签: xss 安全 javascript react.js 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58515303/article/details/121905140
版权

什么是XSS攻击

  • 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
  • XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]
如下XSS攻击实例

如下代码就是原本p标签里面只包含内容文本的,但是别人偏偏就不写正常文本,他写一个img标签然后写一个循环,代码执行一直执行alert(111) 这个就叫做XSS攻击

export default function Question () {
  const content = `
    <p>通过附文本编译的内容<img οnerrοr="while(1){alert(111)}" src='https://xxxxxx.com'>'></p>
    <h1>nihoa</h1>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: content }} />
    </div>
  )
}

在这里插入图片描述

解决XSS攻击

  • 使用 dompurify 对 HTML 内容进行净化处理
1.安装包
npm i dompurify
2. 在页面中调用 dompurify 来对文章正文内容做净化:
import DOMPurify from 'dompurify'
export default function Question () {
  const content = `
    <p>通过附文本编译的内容<img οnerrοr="while(1){alert(111)}" src='https://xxxxxx.com'>'></p>
    <h1>nihoa</h1>`

  return (
    <div className="dg-html">
      Question
      <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(content || '') }} />
    </div>
  )
}

在这里插入图片描述

留着鼻涕敲代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全中的XSS攻击
lzhy666的博客
04-20 440
通过系列8中同源的策略我们知道,由于其非绝对性,能通过在页面嵌入跨域资源,通过cors来来允许跨源访问和通过js中的API来实现跨文档消息机制,这些机制同时带了很多安全问题。
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
html注册xss防注入代码,防止恶意代码注入XSS(cross site scripting)
weixin_33504929的博客
06-09 232
防止恶意代码注入XSS(cross site scripting)发布时间:2020-06-05 10:32:55来源:51CTO阅读:570作者:津沙港湾栏目:数据库Login.PHP页面html>登录页面用户名密码LoginController.PHP页面html>登录验证//接收用户提交的用户名和密码(login.php页面提交的参数)$username=$_REQUEST[...
前端安全系列(一):如何防止XSS攻击
最新发布
qkh1234567的博客
05-14 1430
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
xss攻击和防范
qi_SJQ_的博客
08-18 289
A.PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.RemoveXss函数 B.PHP输出到JS代码中,或者开发Json API的,则需要前端JS中进行过滤: 1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容 2.必须要用innerHTML等等函数,则需要做类似php的htmlspe.
PHP防止跨站和xss攻击代码
云博客_资源宝分享
07-09 1080
这篇文章主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下 本文实例讲述了PHP实现的防止跨站和xss攻击代码。分享给大家供大家参考,具体如下: 文档说明: 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once(‘waf.php’); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
xss-labs靶场通关
10-13
xss-labs靶场通关 本篇文章将对xss-labs靶场的六关...xss-labs靶场的六关源码展示了xss攻击的多种形式和方法,每一关都有其独特的攻击方式和payload,了解这些攻击方法和payload是非常重要的,以便更好地防止xss攻击
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSS攻击防御代码的简单演示
04-25
这个是XSS攻击防御代码的简单演示,利用Node搭建的
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
jquery xss验证代码
08-13
jquery xss验证代码,以txt打开,修改http://xxx/jquery.js,保存后加载有问题的jquery,可以出现弹窗
PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】
12-18
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考,具体如下: 防XSS攻击代码: /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace(' ','',$string); $string = str_replace(''','',$string); $string = str_replace(''','',$string); $string = str_replace('*','
预防XSS攻击的一些方法整理
weixin_30270889的博客
07-28 600
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。 ...
xss攻击-面向前端安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
02-28 1287
文章目录
xss攻击总结
hw1287789687的专栏
07-15 1538
xss攻击总结 原则用户输入什么,数据库就存储什么. 在前端显示时,需要escape.html标签的title属性也需要escape看一个title属性未escape得例子: html代码: 所以html标签的title属性也需要escape. 但是,如果使用jQuery的attr方法设置title,则不需要escape:setPreviewOrgFullName:function
XSS 跨站脚本漏洞 - 学习
weixin_47306547的博客
09-17 2778
XSS简介 XSS又叫CSS(Cross Site Scripting),即跨站脚本攻击,时最常见的 Web 应用程序安全漏洞之一,在 2013 年度 Owasp top 10 中排名第三。 XSS时指攻击者在网页中嵌入客户端脚本,通常是 JavaSCript 编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。 综上可知,XSS属于客户端攻击,受害者最终是用户,但是这并不意味着XSS与自己的网站,服务器安全无关。须知,网站管理员也是用户之一,这意味着XSS
X-XSS-Protection缺失 修复
06-13
X-XSS-Protection是一个HTTP响应头,用于防止跨站脚本攻击XSS)。如果该头缺失,可能会导致攻击者通过注入恶意脚本来攻击网站用户。为了修复这个问题,您可以在Web服务器或应用程序中配置该头。以下是一些具体的步骤: 1. 在Web服务器上配置X-XSS-Protection头。例如,在Apache服务器中,您可以在配置文件中添加以下行: Header set X-XSS-Protection "1; mode=block" 2. 在应用程序中使用编程语言来添加X-XSS-Protection头。例如,在PHP中,您可以使用以下代码: header("X-XSS-Protection: 1; mode=block"); 3. 使用Web应用程序防火墙(WAF)来过滤和阻止恶意脚本。 无论哪种方法,都应该测试您的网站以确保X-XSS-Protection头已正确配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值