IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 前端xss 漏洞 -> 正文阅读

[网络协议]前端xss 漏洞

xss 漏洞简介:跨站脚本攻击(Cross-site scripting,XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者。

产生xss攻击的场景:

1、数据从一个不可靠的链接进入到一个web应用程序;

2、没有过滤掉恶意代码的动态内容呗发送给web 用户。

xss攻击可以分为3类,存储型(持久型)、反射型(非持久型)、DOM型。

存储型XSS

注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。

反射型XSS

当用户点击一个恶意链接,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。web服务器将注入脚本,比如一个错误信息,搜索结果等,返回到用户的浏览器上。由于浏览器认为这个响应来自“可信任”的服务器,所以会执行这段脚本。

基于DOM的XSS

通过修改原始的客户端代码,受害者浏览器的DOM环境改变,导致有效载荷的执行,即页面本身没有变化,但由于DOM被环境恶意修改,有客户端代码被包含进了页面,并且意外执行。

解决XSS攻击,常用的方法,可以使用xss.js 插件,具体文档可参考:https://jsxss.com/zh/

原生js 中的应用如下:

第一种方法适用场景:点击按钮,挑转到另一个页面时,传递参数的过滤

第二种方法适用场景:已经挑战到一个页面了,那个页面的地址中存在一些参数,用户修改地址栏的参数

<script>
   // 方式一
    var btn = document.getElementById('button');
    btn.onclick = function() {
        console.log('你点击了按钮哦!')
        var url = filterXSS("<https://www.baidu.com>");
        window.location.replace(url);


    }
// 方法二
    window.onload = function() {
        var currentPageUrl = "";
        if (typeof this.href === "undefined") {
            currentPageUrl = document.location.toString().toLowerCase();
        } else {
            currentPageUrl = filterXSS(this.href.toString().toLowerCase());
            window.onload()
        }
        console.log(currentPageUrl, 'currentPageUrl');

    }
</script>

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-03-17 22:35:21  更:2022-03-17 22:36:53 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 5:44:01-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码