使用dompurify修复XSS跨站脚本缺陷

最新推荐文章于 2025-04-27 22:59:24 发布
最新推荐文章于 2025-04-27 22:59:24 发布
阅读量372 收藏 4
点赞数 5
分类专栏: js 文章标签: xss跨站脚本攻击修复 使用dompurify
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzp20092009/article/details/147333280
版权

1. 问题描述

漏洞扫描说有一个低危漏洞,容易被跨站脚本攻击XSS。
请添加图片描述
在这里插入图片描述

2. 使用dompurify修复

DOMPurify is a DOM-only, super-fast, uber-tolerant XSS sanitizer for
HTML, MathML and SVG.

简单来说,我们可以使用 dompurify 处理xss跨站脚本攻击。

2.1 安装dompurify

既可以手动引入,也可以安装依赖的方式引入使用。

2.1.1 手动引入使用

2.1.1.1 手动引入
<script type="text/javascript" src="dist/purify.min.js"></script>
2.1.1.2 使用
const clean = DOMPurify.sanitize(dirty);

2.1.2 安装依赖并引入使用

2.1.2.1 安装依赖
npm install dompurify
2.1.2.2 引入
import DOMPurify from 'dompurify';
2.1.2.3 使用
const clean = DOMPurify.sanitize('<b>hello there</b>');

3. 结果

问题就修复了,不用考虑了哈哈。
在这里插入图片描述

求关注
在这里插入图片描述
【WEB篇】网络安全面试
大河之犬的博客
04-08 1447
文件包含是指在程序编写过程中,为了减少重复的代码编写操作,将重复的代码采取从外部引入的方式,但如果包含被攻击者所控制,就可以通过包含精心构造的脚本文件来获取控制权,一般分为本地包含和远程包含,文件读取和文件包含类似,区别是文件读取无法被执行,只能查看文件。攻击者修改目标的host头将密码重置链接的域名修改为自己的域名,邮件还是发送到受害者的邮箱,如果受害者没注意的话点击链接,攻击者控制的网站的记录中可以查看到请求记录,然后在拼接成正确的域名即可实现任意用户密码重置。
XSS漏洞—XSS平台搭建与打cookie
goldfish8848的博客
06-21 2599
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
全面掌握XSS攻击防御技术
weixin_33173126的博客
11-12 817
本文还有配套的精品资源,点击获取 简介:XSS攻击是一种网络安全威胁,尤其在Web前端开发中常见,涉及反射型、存储型、DOM-Based等攻击类型,以及防御策略和绕过过滤技巧。本课程将详细介绍XSS攻击的原理和危害,并指导如何通过技术手段有效防范。学习如何对用户输入进行验证过滤、使用CSP策略和输出内容的适当编码,以及更新框架和库来保护Web应用免受攻击。 1. ...
DOM 型 XSS 深度解析:原理、攻击手法、防御实践与实战案例
最新发布
m0_57836225的博客
04-27 440
DOM 型 XSS(Document Object Model Cross-Site Scripting)是一种依赖 DOM 结构动态渲染的跨站脚本攻击。攻击完全发生在客户端:恶意脚本通过修改浏览器端的 DOM 树触发,无需与服务器进行数据交互。漏洞源于前端代码逻辑缺陷:开发者未对 DOM 操作的数据源进行安全过滤,导致恶意数据被解析为可执行脚本。与其他 XSS 的区别类型存储位置触发方式依赖条件存储型 XSS服务器数据库服务器主动渲染恶意内容服务器端过滤缺失反射性 XSS
【burpsuite安全练兵场-客户端15】基于DOM的漏洞-7个实验(全)
01-17 8724
【BP靶场portswigger-客户端15-基于DOM的漏洞】7个实验-万文详细步骤
jQuery漏洞——CVE-2020-11022/CVE-2020-11023,保姆篇---春不晚
weixin_71913298的博客
12-11 3076
实践是检验真理的唯一标准,请大家积极实践 请大家指出的我问题和需要完善的地方,咱们共同进步 清风.春不晚与诸君共勉,共创辉煌篇章
网络安全:(二)Vue 项目中前端源码漏洞处理方案及实现
mmc123125的博客
10-16 1497
在开发 Vue 应用程序时,安全性是不可忽视的重要环节。前端源码中的漏洞不仅会影响用户数据的安全,还可能导致整个应用程序的完整性受到威胁。本文将详细探讨一些常见的前端漏洞及其处理方案,并通过示例进行说明。
Zoom 修复 Whiteboard 中的XSS漏洞
smellycat000的专栏
12-30 815
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zoom 修复了位于桌面和web版本 Whiteboard app 中的一个XSS漏洞。Zoom Whiteboard可使用户通过增加和编辑不同的对象,在共享画布上实时协作。Whiteboard 在浏览器和桌面app上都运行 JavaScript 代码。1逃逸清理Zoom Whiteboard 中的XSS漏洞是由安全研究员 Eugene Lim ...
第一个问题.如何搭建一个H5的页面,做到响应式布局
2403_89711566的博客
03-21 1211
响应式布局是一种网页设计方法,它允许网页根据用户的设备(桌面电脑、平板、手机等)自动调整布局和样式。灵活性:页面能够适应不同屏幕尺寸。用户体验:无论在何种设备上,用户都能获得良好的浏览体验。HTML5:提供更语义化的标签,优化页面结构。CSS3:特别是媒体查询(Media Queries)和弹性布局(Flexbox)。在styles.css/* 基本样式 */body {margin: 0;padding: 0;nav ul {
flash跨站脚本攻击
04-01
### Flash 跨站脚本攻击XSS)原理 Flash 跨站脚本攻击是一种利用 Adobe Flash 文件中的漏洞来执行恶意代码的技术。这种类型的 XSS 攻击通常发生在 Flash 应用程序未能正确验证输入数据的情况下,使得攻击者能够...
MathJax安全防护:XSS攻击防御最佳实践大公开
![MathJax安全防护:XSS...随后深入探讨了XSS攻击的类型、原理和危害,并详述了通过MathJax实施的XSS防护机制,包括输入输出控制、安全配置以及应用层防御技术。文中还提供了针对不同类型XSS攻击的实践案例分析,并讨论
【前端安全防护】:防止悬浮菜单脚本注入的5大策略
本文全面探讨了前端安全领域的主要策略和挑战,包括脚本注入攻击的理解、内容安全策略(CSP)的原理与实施、严格的跨站脚本攻击XSS)过滤技术、避免动态内容执行的安全实践以及用户输入的有效处理和验证方法。...
Jade安全编程:防范模板注入与XSS攻击全攻略
本文全面探讨了Jade模板引擎的安全应用实践,重点分析了模板注入与XSS攻击的原理、检测与防护策略。文章首先介绍了Jade模板引擎的基础知识,随后深入阐述了模板注入的成因、检测手段以及防护技术,并提供了实战演练...
play() failed because the user didn‘t interact with the document优化媒体不能自动播放
热门推荐
wzp20092009的博客
09-14 2万+
谷歌浏览器 video 元素设置 autoplay,我们原意是希望页面加载时自动播放,但实际上并没有自动播放,在控制台报错如下: Uncaught (in promise) DOMException: play() failed because the user didn’t interact with the document first. 这里的意思是,是因为用户没有先和网页交互所以播放失败。
微信小程序导航栏标题配置navigationBarTitleText及动态设置setNavigationBarTitle方法
wzp20092009的博客
08-28 2万+
小程序包含一个描述整体程序的 app 和 多个描述各自页面的 page,它的主体部分由 app.js、app.json 和 app.wxss 三个存放在项目根目录的文件组成,而小程序具体的页面由 js、wxml、json、wxss四个存放在相应页面目录的文件组成。 像 导航栏标题文字内容 这些我们按照实际的需求去具体设置,比如如果需要对微信小程序进行 全局配置,我们就在小程序根目录下 app.js...
修复Critical dependency: the request of a dependency is an expression警告
wzp20092009的博客
11-19 1万+
Critical dependency: the request of a dependency is an expression 关键依赖: 依赖关系的请求是一个表达式。 查看问题代码: let img = '@/assets/images/head.png'; require(img); **原因在于**: require用于引入模块、 JSON、或本地文件,但是不支持直接传入变量。 **解决方法**:通过 [**ES6 字符串模板**](https://developer.mozilla.o..
axios设置authorization
wzp20092009的博客
09-17 1万+
HTTP 协议中的 Authorization 请求消息头含有服务器用于验证用户代理身份的凭证,通常会在服务器返回 401 Unauthorized 状态码以及 WWW-Authenticate 消息头之后在后续请求中发送此消息头。 语法 Authorization: <type> <credentials> 键名 键值 <type> 验证类型(Basic、Bearer、Digest、HOBA、Mutual、AWS4-HMAC-SHA256) &lt
修复The play() request was interrupted等系列问题
wzp20092009的博客
10-08 1万+
在网页端播放媒体,如video、audio等标签,在频繁切换组件播放时经常出现The play() request was interrupted等错误提示,可以延时执行修复该问题
vue动态增加路由addRoute
wzp20092009的博客
05-08 8846
描述 router.addRoute 添加一条新路由规则。如果该路由规则有 name,并且已经存在一个与之相同的名字,则会覆盖它。 addRoute(route: RouteConfig): () => void 如果需要给某个子节点更新路由 router.addRoute 添加一条新的路由规则记录作为现有路由的子路由。如果该路由规则有 name,并且已经存在一个与之相同的名字,则会覆盖它。 addRoute(parentName: string, route: RouteConfig
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值