关于xss攻击解决方案

这篇具有很好参考价值的文章主要介绍了关于xss攻击解决方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.介绍:

前端安全系列(一):如何防止XSS攻击?
关于xss攻击解决方案

2.遇见的问题

情况一:

后端直接返回带有样式的字符串,使用v-html会受到xss的攻击:
原理:Vue中的v-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不会作为Vue模板进行编译,容易受到xss攻击
关于xss攻击解决方案
xss攻击检验的方式:

  text: '<img src=X οnerrοr=alert(111)>'

解决方式:

方法一:

使用xss插件
https://jsxss.com/zh/options.html(npm)根据白名单过滤HTML(防止XSS攻击)
https://blog.csdn.net/lingxiaoxi_ling/article/details/105851736(详细理解版)

方法二:

①、用html转义,将<>转义成转义符,这样标签就编程了文本了(QQ空间的做法)
②、使用jsoup白名单过滤掉onerror关键字,让他不要在前台显示(这种更安全,因为转义还有可能被绕过)

其他尝试记录:

  1. xss函数处理挂载在原型上,可是nuxt的配置上找不到chainWebpack,不生效
    处理v-html的潜在XSS风险_lj1530562965的博客-CSDN博客关于xss攻击解决方案

  2. setAttribute()方式对Css样式的属性进行操作时,只能获取已经通过JS代码进行设置过的值或者通过HTML元素显示设置了想要的内联样式的值(即在HTML标签中通过属性style进行设置了的属性值)。
    后台返回的是带样式的字符串,不适用
    关于xss攻击解决方案

  3. 子组件渲染–因为需要渲染字符串里面的css,使用要用到.innerHTML 会受到xss攻击关于xss攻击解决方案

xss检验

总结

1.innerHTML —xss攻击
2.DOMParser().parseFromString()–性能最差,会受到xss攻击
3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全
4.insertAdjacentHTML()–会受到xss攻击
5.createContextualFragment ()–安全性能差,会受到xss攻击

因此,在进行HTML字符串转DOM时候,记得过滤onload和onerror属性,尤其是第3方的HTML字符串,一定要注意安全,防止XSS攻击。文章来源地址https://www.toymoban.com/news/detail-426356.html

到了这里,关于关于xss攻击解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux-SSH被攻击-解决方案

    SSH端口暴露在公网上很可能被黑客扫描,并尝试登入系统。这种攻击基本每天都在发生。 首先要检查SSH端口是否被攻击,主要检查检查失败登录。 btmp文件会记录SSH端口登录失败的信息,包括尝试的用户名、IP地址和时间等信息。 btmp为二进制文件,文件路径为/var/log/btmp。 查

    2024年02月20日
    浏览(24)
  • 思科路由器IP源地址的攻击的解决方案

      一、在UDP flooding中,攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。 二、为了防御UDP flooding,我们必须防止路由器的诊

    2024年02月05日
    浏览(90)
  • 【前端安全】-【防范xss攻击】

    XSS 攻击是页面被注入了恶意的代码 公司需要一个搜索页面,根据 URL 参数决定的内容。小明写的前端页面代码如下: 如果这个url是: http://xxx/search?keyword=\\\"scriptalert(\\\'XSS\\\');/script ,会导致页面弹出两次弹窗,因为当浏览器请求 http://xxx/search?keyword=\\\"scriptalert(\\\'XSS\\\');/script 时,

    2024年02月09日
    浏览(56)
  • 前端安全系列(一):如何防止XSS攻击?

    随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在

    2024年02月02日
    浏览(72)
  • 前端面试题---HTTP/HTTPS以及XSS攻击

    HTTP(Hypertext Transfer Protocol)是一种用于在网络上传输超文本的协议。它基于客户端-服务器模型,客户端发起请求,服务器响应请求并返回相应的数据。以下是 HTTP 的基本工作原理: 1. 客户端发起请求:客户端(通常是浏览器)向服务器发送 HTTP 请求。请求包括请求行、请求

    2024年02月09日
    浏览(48)
  • 关于OLED花屏的解决方案之一

    一两年前买了一个OLED模块,当时跑了个例程能正常显示就放着不管,前几天拿出来玩玩怎么搞都是花屏,如下图。 一开始以为是OLED初始化的问题,在网上搜了好几个版本的初始化代码都不行。 然后以为是iic时序的问题,因为代码中的iic协议与我当时学习的时候有点差别,当

    2024年02月13日
    浏览(47)
  • 前端xss攻击——规避innerHtml过滤标签节点及属性

    大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。 xss攻击 XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取

    2024年04月09日
    浏览(102)
  • 关于Microsoft Store无法更新的解决方案

    20230324 By wdhuag 最近莫名其妙的,Microsoft Store更新一直报错,能正常进入。网上搜到的DNS、hosts、重置商店、Internet 选项基本没有效果。 Microsoft store无法安装以及更新应用,怎么解决? - 简书 能进入windows store 却不能下载软件? - 知乎 win10应用商店无法下载应用的问题 0x80D02

    2024年02月11日
    浏览(49)
  • 关于PermissionError: [WinError 5] 拒绝访问的解决方案

    在python使用pip命令安装各种package时,可能会发生下列现象: PermissionError: [WinError 5] 拒绝访问。: \\\'c:\\\\program files\\\\python36\\\\Lib\\\\site-packages\\\\selenium\\\' *因我安装的是selenium包,所以报错信息的路径会和selenium有关,安装其它包也有可能遇到同样问题,与包的种类无关。 图片: 错误原

    2024年01月23日
    浏览(52)
  • 关于 Token 过期问题的两种解决方案

     对于token过期,我们有两种方案:   方案一:当我们操作某个需要token作为请求头的接口时,返回的数据错误error.response.status === 401,说明我们的token已经过期了。 我们希望当响应返回的数据是401身份过期时,让当前浏览页面强行跳转到登入页面,让用户 手动更新token。拿到

    2024年01月17日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包