美文网首页
前端XSS攻击

前端XSS攻击

作者: 南蓝NL | 来源:发表于2019-06-03 23:18 被阅读0次

什么是XSS攻击

XSS也称为跨脚本攻击,是一种恶意脚本,可以获取用户得cookie、token、session

XSS攻击的分类

  • 反射型
    反射型就是攻击者构造出恶意的url,其中包含了恶意代码,用户点击之后,服务端取出并且返回给到前端,然后在用户端执行了恶意代码,导致用户信息泄露等损失,如网站的搜索、跳转等

  • DOM型
    DOM型指的就是攻击者输入恶意的代码前端没有做任何过滤被执行了,然后恶意代码发送到攻击者的网站,模拟用户的行为。

  1. 尽量少使用appenChidinnerHTMLouterHTML等标签,而使用innerTexttextContentsetAttribute
  2. 前端过滤

url: 可以使用encodeURIComponent 进行转义

encodeURIComponent('http://www.baidu.com')
"http%3A%2F%2Fwww.baidu.com"

非url

encodeHtml(str) {
      if(str.length == 0) return "";
    return str.replace(/"/g, '"')
            .replace(/'/g, ''')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/&/g,'&amp;')
}

document.write("<script>alert('我是恶意代码')</script>")
document.write(encodeHtml("<script>alert('我是恶意代码')</script>"))

当然这是一个简单的demo,我们常使用AngularVueReact框架都帮我们做好了
比如Angular

import { DomSanitizer } from '@angular/platform-browser';

export class myPage1{
  constructor(private sanitizer: DomSanitizer) {
  }

  onInit():void{
      this.html = this.sanitizer.bypassSecurityTrustHtml('html代码');
     // this.sanitizer 还有很多方法
  }
}

Vuev-textv-html

  • 储存型
    储存型和反射型很相似,区别在于储存型是存在数据当中,而反射型是存在URL当中
    常见的话就是商品的评论、发博文等

当然实际情况会跟更复杂,通常对于发生与用户交付的行为,比如input的输入,前端一定要做好校验,限制用户输入的长度、格式等

相关文章

  • xss攻击

    前端安全之XSS攻击 XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重...

  • 前端网络安全

    常见的Web前端攻击手段或方法 1.XSS(跨站脚本攻击) XSS又叫CSS(Cross Site Script)...

  • 前端XSS攻击

    什么是XSS攻击 XSS也称为跨脚本攻击,是一种恶意脚本,可以获取用户得cookie、token、session ...

  • 18.浅谈前端WEB安全性(一)

    (一)浅谈前端WEB安全性1.XSS攻击:跨站脚步攻击原理2.XSS利用输出的环境来构造代码(XSS的构造技巧)3...

  • 防止XSS脚本注入-前端vue、后端springboot

    防止XSS脚本注入-前端、后端 作者时间雨中星辰2020-09-10 xss是什么 跨站脚本攻击(XSS),是目前...

  • 01 Web 前端安全相关

    01 前端安全系列(一):如何防止XSS攻击?02 前端安全系列(二):如何防止CSRF攻击?03 AJAX请求真...

  • 浅谈CSRF

    前端安全 常见前端安全问题有: xss攻击、 csrf攻击 两种,今天总结一下目前了解的csrf攻击方式以及规避方...

  • 5

    JSP页面c:out输出设计设计概述:XSS攻击后最终的体现是在前端,直接暴露给用户,抓住前端代码处理环节是XSS...

  • 第三章 XSS 攻击

    要点 XSS 攻击 XSS 防护 一、 XSS攻击 XSS攻击 (Cross-Site Scripting,跨站脚...

  • 21.浅谈前端WEB安全性(二)

    (二)浅谈前端WEB安全性5.XSS防御6.XSS分类及挖掘方法 5.XSS防御 一.概述 攻击者可以利用XSS漏...

网友评论

      本文标题:前端XSS攻击

      本文链接:https://www.haomeiwen.com/subject/ogtkxctx.html