前端XSS攻击的三种方式

最新推荐文章于 2024-07-23 12:00:00 发布
最新推荐文章于 2024-07-23 12:00:00 发布
阅读量5.2k 收藏 3
点赞数 1
分类专栏: 实战技巧 文章标签: 前端 XSS攻击 脚本注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiifaa/article/details/53332168
版权

针对HTML的script标签特性,对前端页面可以采取如下3中脚本注入方式。

1. 添加script元素

在页面中直接创建script元素,然后利用textContent特性进行脚本执行,如下:

    var script = document.createElement('script');
    script.textContent='alert(100)';
    //  立刻就会在页面进行执行,弹出数字100,脚本注入成功

2. 设置script属性src

通过引入脚本的网络地址,也可以执行脚本代码,如下:

    var script = document.createElement('script');
    //  设置文件地址
    script.src = 'http://yiifaa.com/index.js'
    //  还可以执行回调函数
    script.onload = function() {
    }

3. 通过document.write方法

    //  注意对/符号的转义 \/
    var script = '<script>alert(100)<\/script>';
    document.write(script);
蚁方阵
关注
专栏目录
前端安全之XSS及CSRF
javagty6778的博客
03-07 176
现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。当然纸上谈兵终觉浅,最好还是实践一下。### 如何入门网络安全。④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。②20份渗透测试电子书。③安全攻防357页笔记。⑦100个漏洞实战案例。⑧安全大厂内部视频资源。⑤安全红队渗透工具包。
xss攻击方式
weixin_43803070的博客
05-11 348
7)扰乱过滤规则 1.大小写转换 2.不使用双引号,使用单引号。 <img scr=‘javascript:alert(“xss”)’> 3.大小写混合 4.不使用引号 5.利用字符编码,对字符串进行十六进制、和十进制的转化。 8)另外JavaScript中有一个eval函数,该函数可以计算字符串,并执行其中的Javascript代码。我们可以使用\连接十六进制字符串,然后使用eva...
前端安全系列(一):如何防止XSS攻击
最新发布
qq_44005305的博客
07-23 843
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
XSS漏洞常见攻击方式
天天学安全专属博客
10-08 4179
1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1、钓鱼欺骗 2、网站挂马 3、身份盗用 4、盗取网站用户信息 5、垃圾信息发送 6、劫持用户Web行为 7、XSS蠕虫 2.原理 XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际
XSS攻击三种基本形式解析
qq_43288013的博客
09-27 1159
XSS攻击三种基本形式解析 原文转载来自:http://www.cnblogs.com/lovesong/p/5199623.html XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: Reflected XSS(基于反射的XSS攻击) Stored XSS(基于存储的XSS攻击)...
XSS攻击具体主要是哪些方法?如何防止被攻击呢?
2301_76418831的博客
05-03 586
XSS(跨站脚本攻击)是一种常见的Web攻击,主要是利用网站未对用户输入的数据进行充分过滤,导致恶意脚本被插入到网站的HTML页面中,从而影响到其他用户。3.DOM-based XSS攻击:攻击者利用了网站的前端脚本,例如JavaScript等,来修改页面的DOM结构,从而触发恶意脚本。4.对用户输入的数据进行转义:对用户输入的数据进行HTML Entity编码或JavaScript转义,可以防止恶意脚本注入。为了防止XSS攻击,应该对用户输入的数据进行充分的过滤和验证。1.在表单输入框中输入恶意代码。
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
总之,PDF文件的XSS攻击是一种非典型的XSS形式,但同样需要重视。通过在SpringBoot应用中配置XSSFilter并结合其他安全措施,可以有效防止此类攻击,保护用户的浏览器环境不受侵害。同时,定期更新安全知识,对新的...
前端安全系列:如何防止XSS攻击
01-27
XSS攻击主要分为三种类型:存储型XSS,反射型XSS和DOM-based XSS。存储型XSS发生在数据被持久化存储在服务器上,然后在后续请求中显示给其他用户;反射型XSS则依赖于用户点击特制的URL,恶意代码在浏览器中一次性...
前端安全:XSS攻击与防御策略
dzqxwzoe的博客
07-01 1216
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
JS 前端常见的攻击
ct_ts的博客
04-10 2714
前端安全问题一直是面试经常问到的问题,也是我们平时建站会遇到的问题,今天来记录一下前端安全方面的相关知识。 前端经常遇到的攻击有 XSS CSRF 网络劫持 控制台注入 XSS攻击(跨站脚本攻击) 问题: 简单来说,XSS指的就是代码注入,它利用的是html的一些漏洞来进行注入脚本,比如插入一个script标签<script>,或者直接进行页面弹窗,更有可能通过你的inp...
前端——XSS攻击初步认识
我是我
07-17 397
XSS攻击 1.什么是XSS攻击 1.1 定义 百度百科.XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,也包括Java、Flash甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限如执行一些操作(劫持用户对话、插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫、修改路由配置信息等)、私密网页内容、会话和Cookie等各种内容。 1.2 原理 百度百
前端安全】JavaScript防XSS攻击
qq_43288091的博客
09-27 7934
1.攻击过程 1、攻击者通过评论表单提交将 &lt;script&gt;alert(‘aaa’)&lt;/script&gt;提交到网站 2、网站后端对提交的评论数据不做任何操作,直接存储到数据库中 3、其他用户访问正常访问网站,并且需要请求网站的评论数据 4、网站后端会从数据库中取出数据,直接返回给用户 5、用户得到页面后,直接运行攻击者提交的代码,所有用户都会在网页中弹出aaa的弹窗 这种攻击...
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
qq_17335549的博客
12-29 2354
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。
前端安全(一)XSS攻击原理及防范
qq_34416331的博客
12-18 2771
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何防范XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
前端安全 — XSS攻击的分类、XSS攻击的预防
csdssdn的博客
04-13 1612
目录 什么是XSS XSS分类 存储型XSS 存储型XSS的攻击步骤: 反射型XSS 反射型XSS的攻击步骤: DOM型XSS DOM型XSS的攻击步骤: XSS攻击的预防 输入过滤 预防存储型和反射型XSS攻击前端渲染 转义HTML XSS攻击的总结 以下原则减少漏洞的产生: 利用模板引擎: 避色内联重件 避免拼接HTML 时刻保持警惕 主动检测和发现 什么是XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是-种代码注.
《WEB安全渗透测试》(19)Vue.js中的XSS攻击
热门推荐
午夜安全
12-16 1万+
《WEB安全渗透测试》(19)Vue.js中的XSS攻击 1.前言 Vue是一套用于构建用户界面的渐进式JavaScript框架,与其它大型框架不同的是,Vue 被设计为可以自底向上逐层应用。它的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目整合;另一方面,当与现代化的工具链以及各种支持类库结合使用时,Vue 也完全能够为复杂的单页应用(SPA)提供驱动。 Vue当下很火,但是鲜有人知Vue写法不当,很容易出现XSS漏洞。 2.Vue漏洞复现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值