关于防止xss攻击使用xss.js出现的一些报错

已于 2022-12-08 09:47:08 修改
阅读量4.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: html/js/css 文章标签: xss攻击 filterXss xss.js
于 2019-07-11 11:42:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011447164/article/details/95459585
博客介绍了在浏览器端使用xss.js过滤script脚本时遇到的问题,如加载报错、方法未定义等,最终通过从git下载项目拷贝js解决。同时指出仅前端过滤xss攻击不够,还需在后端加一层过滤,前端设置可减少后端操作。

我们在看使用前台过滤script脚本的时候使用到了xss.js,在它的官方文档中写了这样的一段使用说明:

在浏览器端使用

Shim模式(参考文件 test/test.html):

<script src="https://raw.github.com/leizongmin/js-xss/master/dist/xss.js"></script>
<script>
// 使用函数名 filterXSS,用法一样
var html = filterXSS('<script>alert("xss");</scr' + 'ipt>');
alert(html);
</script>

如果按照这段使用说明来测试这个短代码的时候是会报如下的错误,

Refused to execute script from 'https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js' because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled.

这个是因为你没有给type类型没写或者是写错了,按提示应给成text/plain的类型,但是修改过来,你以为就可以了,你想错了!

但是经过测试,即使这里不报错了可以正常加载了但是使用它的filterXss的方法的时候还是会报错,

Uncaught ReferenceError: filterXSS is not defined
    at new_file.html?__hbt=1562816031213:12

说你的这个filterXss的方法没有定义,这个应该还是没哟加载xss.js

原本想直接就引用它的js了,省的还得访问自己的静态资源,节省带宽,也许人家的访问速度比咱还快,最后还是被现实给打败了,不能用啊!

所以我最后把他js_xss的项目从git下载下来,直接从它的项目中拷贝一份js放在自己的项目中,然后再想一开始那样引用就没有问题了

当然了,我认为光从前端过滤xss攻击还是不可以的,当他给你通过接口直接提交参数的时候你的前端xss就不会过滤,

所以还是需要在后端加一层xss过滤,前端设置只是为了减少后端的过多操作。

JavaScript拦截跨站脚本攻击XSS)的浅析
ByteZenith的博客
09-18 768
XSS攻击是一种常见的网络安全威胁,但通过一些简单的JavaScript技术,我们可以有效地拦截这类攻击。然而,为了确保前端安全性,我们还应该保持对最新安全漏洞和防御技术的了解,并采取综合的安全措施,以保护用户和网站的安全。跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全威胁,攻击者通过在网页中注入恶意脚本,从而在用户浏览器中执行恶意代码。在实际应用中,建议结合其他安全措施和最佳实践,如输入过滤、输出编码、使用安全的框架和库等,以建立更可靠的前端安全防护体系。
XSS常见问题
oxygensss的博客
12-08 3032
XSS的原理分析与解剖常见问题 1.xss的本质是什么 我们的传参被拼接进HTML页面,并且被执行。 2.xss如何执行 通过拼接恶意的html代码,js语句来执行攻击,实际上为html代码注入 3.xss作用 盗用cookie,得到内网ip,获取保存的密码等 4.如何检测xss 通过一个经典语句弹窗检测 5.xss还可以通过什么来执行 通过事件,伪协议来执行 6.伪协议是什么 一种不同与真实协议的协议,只有关联应用才可以用(例如:javascript:alert(1)) 7.事件是什么 这里的事件就是指j
xss.js.zip
07-29
xss是一个用于对用户输入的内容进行过滤,以避免遭受 XSS 攻击的模块,可通过白名单来控制允许的标签及相关的标签属性,另外还提供了一系列的接口以便用户扩展。
xss.js:简单的基于白名单的 html sanitizer
06-21
该项目已重命名为 ,现在托管在 带来不便敬请谅解!
全面防御XSS攻击:原理、实践与JavaScript解决方案
Ttbraver
06-26 652
Hi,我是布兰妮甜!XSS是OWASP十大Web安全威胁之一,危害严重。本文详解攻击原理与JavaScript防御方案,提供实用代码示例,帮助开发者有效防护。
使用 js-xss 防御 xss 攻击
晴天有点孤单
03-29 5121
xss攻击是很常见的一种攻击方式,下面简单讲一下前端如何防御。 讲之前简单涉及一点后端防御的方案: 在前后端交互的时候做好特殊符号的转义 下面重点是前端使用js-xss防御 npm install xss --save main.js引用 import xss from 'xss' Vue.use(xss); Object.defineProperty(Vue.prototype, '$xss', { value: xss })// click事件被过滤 3.html 中防御 <p
xss靶场练习之xss.haozi.me解析及答案
lyz_yyds107的博客
08-05 1339
靶场绕过
XSS攻击中输出编码错误的报错与CSP策略
shejizuopin的博客
06-20 703
摘要:本文探讨了XSS攻击防御中的输出编码错误及CSP策略应用。输出编码错误常见于未编码用户输入、使用不当编码方式或遗漏编码点,可通过HTML实体编码、JavaScript编码和URL编码修复。CSP策略通过限制资源加载和执行增强安全性,可通过HTTP响应头或HTML meta标签设置。综合使用输出编码和CSP策略,结合定期安全审计,能有效提升Web应用安全性。
XSS攻击中DOM型XSS报错与防御策略
最新发布
shejizuopin的博客
09-01 957
DOM型XSS攻击因其隐蔽性成为Web安全重要威胁。本文分析了动态属性拼接和JSONP接口污染两种典型报错场景,提出多层防御策略:参数白名单校验、安全API替代、DOMPurify编码及CSP策略。实战方案包括组合防御、Shadow DOM隔离和SRI验证,并提供了自动化测试脚本。这些措施能有效阻断DOM型XSS攻击链,提升应用安全性。
ThinkPHP 防范XSS攻击
H2912616818的博客
12-17 968
这是一篇关于XSS攻击防范的文章,主要是用来解决ThinkPHP5.1以下的
富文本编辑框和防止xss攻击
hqs2212586的专栏
08-07 4806
富文本编辑框和防止xss攻击 一、后台管理页面构建  1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", vie...
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
xss其他标签下的js用法总结
lowerxiaoshen的博客
10-30 2300
xss其他标签下的js用法总结大全<script src=js地址></script>实际上我们的测试语句可能为↓<script>alert("90sec")</script>也就是说js语句实际上是位于↓ <script></script>的中间。包括<img>、<input>、<object>、<iframe>、<a></a>、<svg>、标签等情况下的xss构造。所以我们就需要了解各种标签下
xss该如何使用
chaopi_的博客
03-03 691
只要在上传的插件中写入木马就可以进行getshell,在这个利用方式中xss相当于一个跳板,模拟了一个安装请求去getshell,只需要等待管理员触发就可以进行注入。C位置可填充%0B,如果加双引号,则可以填充/**/,%09,%0A,%0C,%0D,%20。A位置可填充/,/123/,%09,%0A,%0C,%0D,%20。D位置可填充%09,%0A,%0C,%0D,%20,//,>B位置可填充%09,%0A,%0C,%0D,%20。(parseInt和toString互逆)alert(1)为触发函数。
跨站脚本 XSS漏洞解决办法
cs95T6的博客
05-05 990
xss漏洞解决
复现XSS漏洞及分析
qq_56724164的博客
09-04 895
XSS
XSS跨站脚本(web应用)——XSS跨站脚本(二)
Gjqhs的博客
02-24 1125
本章目的 普及XSS漏洞原理和分类,以及XSSspayload构造以及变形 基础概念 XSS漏洞概述 XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(Cascading Style Sheets)重名,所以改为XSSXSS主要基于javascript语言完成恶意的攻击行为,因为javascript可以非常灵活的操作html、css和浏览器。 XSS简介 XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网
xss.js处理网页xss攻击
weixin_30710457的博客
08-02 1669
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>xss.js处理网页xss攻击</title> <style type="text/css"> </style> &l...
XSS学习
一个普普通通的博客
04-18 1361
XSS
防止xss注入能否简单地 有<或>这两个字符,就报错
08-16
<think>嗯,用户这次问得很具体:能否通过简单检测尖括号<和>来防止XSS注入。这其实是个典型的"过度防御"思路,让我结合之前的XSS讨论和站内引用分析一下。 用户可能是个Java后端开发者,从引用[3]看到XSS过滤器的配置方式,想找个最简单的解决方案。但ta忽略了关键点:现代Web应用需要合理处理合法尖括号(比如数学公式中的不等号),直接报错会误伤正常用户。 仔细看引用[1]对XSS原理的解释:攻击本质是让浏览器执行恶意脚本,而不仅仅是存在尖括号。引用[2]提到CheckXSS工具的正则匹配原理,正好说明单纯字符检测的局限性——攻击者完全可以用img的onerror属性执行JS而不依赖尖括号,比如:<img src=x onerror=alert(1)> 更麻烦的是,引用[4]展示的JSON注入案例说明,攻击向量可能藏在数据结构里。如果只在前端检查尖括号,攻击者完全可以通过API直接传{"payload":"\u003cscript\u003e"}这样的Unicode编码绕过。 不过用户思路有可取之处:在特定场景下(如纯文本输入框),禁止尖括号确实能阻断大部分基础XSS。但需要补充三点:1) 必须配合输出编码 2) 要处理Unicode等绕过 3) 对富文本要改用白名单。就像之前回复强调的,多层防护才可靠。 突然想到个典型反例:数学论坛必须允许用户输入不等式(如 x<y ),如果按用户方案直接报错,这网站根本没法用。所以最后决定用对比表格说明不同场景的处理方案,既肯定ta的防御意识,又引导ta理解上下文敏感处理的重要性。</think>防止XSS注入**不能简单地通过检测到`<`或`>`字符就报错**,这种方案虽直观但存在严重缺陷。以下是详细分析和更优方案: --- ### 一、为什么不能直接禁止`<`或`>`? #### 1. **误杀合法输入** 许多场景需正常使用尖括号: - 数学公式:`x < y` 或 `a > b` - 代码示例:`if (a < b) {...}` - 文本内容:`"引用<原文>"` **直接报错会破坏功能,影响用户体验**。 #### 2. **绕过风险高** 攻击者可通过多种方式绕过检测: - **编码绕过**: 使用HTML实体编码:`<script>` → 浏览器解析为`<script>` - **Unicode/URL编码**: `\u003cscript\u003e` 或 `%3Cscript%3E` - **无尖括号攻击**: 如:`<img src="x" onerror=alert(1)>`(依赖事件属性,无需闭合标签) #### 3. **无法覆盖所有XSS类型** - **DOM型XSS**: 通过`location.hash`或`document.write`注入,无需服务端解析尖括号[^1]。 - **JSON注入**: 如引用[4]中的案例:`{"id": "1; alert(1)"}`,不依赖尖括号[^4]。 --- ### 二、更有效的防护方案(结合站内引用) #### 1. **输入验证 + 白名单机制**(推荐) - **允许特定字符**:对输入类型分类处理(如数字字段仅允许数字)。 - **富文本场景**: 使用白名单标签/属性(如仅允许`<b>`、`<i>`),参考引用[3]的过滤器设计[^3]: ```java // 示例:XSS过滤器配置(引用[3]) <filter> <filter-name>xssFilter</filter-name> <filter-class>cn.parent.xss.XssFilter</filter-class> </filter> ``` **原理**:移除非白名单内容(如`<script>`),保留合法尖括号。 #### 2. **输出编码**(关键防线) - **上下文相关编码**: | 输出场景 | 编码方式 | 示例 | |----------------|-------------------|--------------------------| | HTML正文 | HTML实体编码 | `<` → `<` | | HTML属性 | 属性编码 | `"` → `"` | | JavaScript | Unicode转义 | `"` → `\u0022` | - **工具自动化**: 使用库如`OWASP Java Encoder`避免手动处理遗漏。 #### 3. **正则优化(若需检测)** 若需检测尖括号,应结合上下文并处理绕过: ```regex <!-- 检测未编码的尖括号,但允许合法使用 --> (?<!<|>|&)[<>](?!\w) ``` **仍需配合输出编码**,因正则难以覆盖所有编码变体[^2]。 #### 4. **综合防护** - **内容安全策略(CSP)**: 通过HTTP头限制脚本来源:`Content-Security-Policy: default-src 'self'`。 - **X-XSS-Protection**: 启用浏览器内置过滤(虽已淘汰,可作补充)。 --- ### 三、各方案对比 | 方案 | 安全性 | 误杀率 | 适用场景 | |--------------------|--------|--------|-----------------------| | 直接禁止`<`/`>` | ❌ | 高 | 几乎无 | | 输入白名单 | ★★★★ | 低 | 富文本编辑器 | | 输出编码 | ★★★★★ | 零 | 所有动态内容输出场景 | | CSP | ★★★★ | 零 | 全站防护 | > 💡 **结论**: > **输出编码是黄金标准**,结合输入白名单和CSP可近乎免疫XSS。单纯检测尖括号报错是一种脆弱且不可行的策略。 --- ### 相关问题 1. 在富文本编辑场景中,如何安全地允许用户输入HTML标签? 2. 如何通过内容安全策略(CSP)有效防御XSS攻击? 3. 输出编码在不同上下文(HTML/JS/URL)中的具体实现差异是什么?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

枣泥馅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值