不用过滤,应对XSS跨站攻击(1) -- iframe单向访问模型

用iframe单向访问模型应对XSS攻击
最新推荐文章于 2024-10-15 20:20:22 发布
原创 最新推荐文章于 2024-10-15 20:20:22 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iframe #html #url #工具

本文探讨了一种防御XSS攻击的方法——iframe单向访问模型,通过设置document.domain实现主页面对iframe内容的控制,确保用户输入的HTML内容在受控环境中执行,避免过滤代码的复杂性和潜在风险。该模型下,iframe内的攻击代码无法影响主页面,提高了安全性。

应对XSS跨站攻击的基本原则是:“数据内容不能作为代码执行,或者在受控环境中执行。”在这里我们先讨论如何把数据内容放入受控环境中。

 

为了避免XSS跨站攻击,在大多数html编辑器的设计中,都是要将用户输入的HTML内容进行过滤。过滤代码繁琐暂且不说,关键是不能保证考虑到所有已知和未知的攻击类型。如果我们能设计一个iframe单向访问模型,就可以让用户输入的HTML内容在受控的环境中执行,也就不需要再进行过滤了。

举例来说,我们html编辑器所在的主页面为(a),嵌入一个iframe为(b)。(a)可以访问(b)的内容,而(b)却不能访问(a)的内容。这样的话,(b)中的HTML内容即使包含攻击代码,也无法发挥作用了。

 

在这个模型中,我们用到了document.domain属性。我们知道不同域的页面之间是不能互相访问的。document.domain可以将原来不同域的两个页面降级为相同的两个域。主页面(a)的URL为http://aa.pimshell.com/pimshell/test/a.htm,缺省域为aa.pimshell.com,嵌入的iframe(b)的URL为http://bb.pimshell.com/pimshell/test/b.htm</

最低0.47元/天 解锁文章
面试题-HTTP/HTML/浏览器
互联网小队
05-04 1559
文章目录1、说一下 http 和 https2、tcp 三次握手,一句话概括3、TCP 和 UDP 的区别4、WebSocket 的实现和应用5、HTTP 请求的方式,HEAD 方式6、一个图片 url 访问后直接下载怎样实现?7、说一下 web Quality(无障碍)8、几个很实用的 BOM 属性对象方法?9、说一下 HTML5 drag api10、说一下 http2.011、补充 400 和 401、403 状态码12、fetch 发送 2 次请求的原因13、Cookie、sessionStorag
2021-6月面试总结-vue,uniapp,小程序,h5,更新中
m0_67266787的博客
02-24 1087
**一、**vue 2.6.11 vue****页面的生命周期? 总共分为8个阶段创建前/后,载入前/后,更新前/后,销毁前/后。 创建前/后: 在beforeCreate阶段,vue实例的挂载元素el和数据对象data都为undefined,还未初始化。在∗∗created∗∗阶段,vue实例的数据对象data有了,el和数据对象data都为undefined,还未初始化。在**created**阶段,vue实例的数据对象data有了,el和数据对象data都为undefined,还未初始化。在∗∗cre
防止 XSS 攻击 解决方案
浪子专栏
08-15 1万+
XSS又叫CSS英文缩写为Cross Site Script中文意思为跨站脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 解决方案 第一。过滤 过滤 标签 等字符 ,但是这样 对用户是不公平的。第二。用asii 码替换 如   ! 等   第三
【跨域请求(五)】window.name + iframe单向跨域》
iuukai
11-23 264
PS:   该方法原本有个跟 a.html 同域的代理页用于切换,但是我觉得特意开出一个空白页太浪费,于是尝试着切换回 a.html,发现可行。 a.html(http://aaa.com/a.html) <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-
XSS攻击怎样防止
qq_45886314的博客
05-07 430
XSS攻击怎样防止 XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击)XSS 攻击类似于 SQL 注入攻击,是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie信息、破坏页面等。 常见的恶意字符 XSS 输入: 1. XSS 输 入 通 常 包 含 Java
通过 iframe 实现 xss(Enabling cross-site scripting XSS via an iframe)
crystalNB的专栏
07-25 6917
有这样的一个想当普遍的场景就是:你有一个包含iframe的页面,而这个iframe的src是指向和当前页面不同的域名。这样做是没错的,记住iframe就是这样设计的! 接下来的示例图展示我们要讨论的一种方案: 现在你想单击iframe里的一个链接,在父页面里来触发一个动作(可能是在父页面里提交一个表单,可能是在父页面里调整iframe的高度)。这时你遇到了困难,因为浏览器不让你访问不用域名
iframe页面嵌套,浏览器提示XXS跨脚本攻击被拦截
Little Luck
01-19 2645
Chrome下出现: The XSS Auditor refused to execute a script in 'http://192.168.16.53/ads/index/viewPostion' because its source code was found within the request. The auditor was enabled as the server sent
【Vue项目安全实践】:整合webpack-obfuscator的经验与安全开发习惯
!... # 摘要 本文全面介绍了Vue项目的安全性问题,从基本的前端安全威胁分析到具体的安全编码实践,再到利用...文章涵盖了跨站脚本攻击(XSS)跨站请求伪造(CSRF)、点击劫持等前端安全威胁,并详细阐述了前端加密技术
浅谈Web安全--XSS攻击
小楠子的博客
10-30 495
XSS攻击主要是利用JS和DOM。 1.了解XSS的定义: 2.理解XSS的原理 3.理解XSS攻击方式:反射性和存储型 反射性:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程像一次反射,故叫反射性XSS。 盗取cookie,获取敏感信息,破坏正常页面结构并插入恶意内容,flash(不...
前端安全之XSS攻击详解
Ellis_li 的博客
10-22 1404
1.基本概念 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内...
网络攻击 XSS、CSRF 攻击
weixin_43294560的博客
12-15 2877
同源策略: 同源指的是我们访问站点的:协议、域名、端口号必须一至,才叫同源。 浏览器默认同源之间的站点是可以相互访问资源和操作DOM的,而不同源之间想要互相访问资源或者操作DOM,那就需要加一些安全策略的限制,俗称同源策略 同源策略主要限制了三个方面: DOM层面:不同源站点之间不能相互访问和操作DOM 数据层面:不能获取不同源站点的Cookie、LocalStorage、indexDB等数据 网络层面:不能通过XMLHttpRequest向不同源站点发送请求 当然同源策略限制也不是绝对隔离不同源的站点
XSS(跨站脚本攻击)详解
hello
07-02 4442
XSS简述-XSS类型-XSS常用标签
如何在iframe显示文本_学点新姿势:如何发现一个0-day XSS
weixin_39974400的博客
11-27 477
XSS漏洞可以说是初学者最容易发现的安全漏洞之一了,但是在目前各种WAF、CSP越来越严苛的情况下,XSS也早没有前几年那么容易发掘了。很多朋友私信向我反馈,为什么自己在靶场里可以如鱼得水地完成题目,一到真实站点的挖掘中就束手无措了,就是因为学的思路和测试技巧都已经被WAF过滤完了,说简单点就是仅靠一些入门级别的测试手法基本上很难挖到漏洞了。所以不要再反复问,学了一些网络安全入门应该怎么去挖漏洞?...
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 7634
XSS跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
javagty6778的博客
02-04 3723
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1390
开始总结一些xss的想法。
xss(跨站攻击)
m0_74456293的博客
03-20 3316
xss跨站攻击
一篇 带你了解 XSS——(下篇)
最新发布
qq_62987084的博客
10-15 1381
关于 XSS的介绍
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
热门推荐
白帽黑客八哥的博客
12-12 1万+
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击在Java开发中防范的方法" XSS(Cross-Site Scripting)攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值