Javascript 输入框 xss注入 以及防范

最新推荐文章于 2025-06-20 10:40:53 发布
最新推荐文章于 2025-06-20 10:40:53 发布
阅读量1w 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: javascript 文章标签: javascript XSS 前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013338742/article/details/53440237
本文介绍了如何通过输入恶意代码来利用XSS漏洞,包括常见的绕过限制手段,如使用字符串拼接来构造攻击代码。同时也提供了前端和后端的防护措施建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注入

类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js;

例如:
<input type="text" value="$var">

输入的内容如果是
" onclick = "javascript_function()" >
在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js

<input type="text" value="" <!-->
...

<input type="text" value="" --> onclick="function eval()" >
还看到MySpace的蠕虫的构建方式, 其中的方法也真是巧妙地避开了所有的限制规则:
比如限制了 javascript,onreadystatechange等等关键字以及 iframe, script,style等等标签;
但是,这并不表明木有漏洞了;
其中, 可以使用拼接字符串的方式,将字符串拼接起来:
<input type="text" value="" style="background:url(expr)" expr="document.getElementById('id').onready"+"statechange">

防范:
采取完全不信任用户输入的心态去对待,前端过滤特殊字符, 类似 ” ’ & * ^ ! 等等;

 var reg = /\~|\!|\!|\@|\#|\$|\^|\¥|\%|\…|\&|\*|\(|\)|\—|\+|\{|\}|\“|\”|\《|\》|\?|\?|\<|\>|\'|\"/g;
 $("#ind_name").val($(this).val().replace(reg, ""));

将输入内容进行编码:

encodeURIComponent

还得防范css的xss, 比如: Img的src属性, 就可以实现将用户的隐私发送到指定地址;
background的url 也可以实现蠕虫攻击(Facebook和微博都发生过)
但主要防范还是要在后端,后端必须过滤输入和输出, 对特殊字符 < > script 等等更是要防范,还有就是对cookie设置
httponly:true
标识符;

JavaScript实现代码注入(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
10-25 1522
JavaScript实现代码注入(附完整源码)
XSS与SQL注入
weixin_51909453的博客
12-15 1366
XSS与SQL注入 1.实验目的 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 2.实验过程 实验步骤: XSS部分:利用Beef
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5759
修复建议:建议对用户得输入与输出进行过滤,过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
前端安全隐患之XSS攻击
最新发布
Shan1205的博客
06-20 266
无论开发团队采取何种保护措施,比如对代码进行混淆、加固,甚至混入大量垃圾代码来增加破解难度,用户总有办法获取前端的源代码或调用链。当后端将用户输入的内容直接渲染到页面上时,浏览器会执行这段 JavaScript 代码,弹出一个警告框:“XSS Attack!这就是 XSS 攻击,攻击者通过在输入中嵌入恶意的 HTML 或 JavaScript 代码,当这些代码被浏览器渲染时,就会执行攻击者的恶意脚本,从而篡改页面内容、窃取用户信息等。假设有一个用户评论的接口,用户可以在网页上输入评论内容并提交。
如何利用js加密防止xss注入
mxd01848的博客
10-17 809
如何利用js加密防止xss注入
js防止注入实现
王维璋
10-09 556
今天其他项目组同事过来问过我是否遇到过这种情况? 场景:在项目input框中输入含有script标签包含的脚本,提交后却意外的被执行了。(所有恶意攻击的脚本标签) 问题:HTML没有进行转义的发送,会导致回显或者提交的时候html语义无法解释 < 和 > 符号,认为其是标签。故进行标签模式的渲染。 解决:每次发送前对输入的字符串进行特殊符号的转义,避免html标签符号和...
【js注入】js注入
09-24 577
js注入 来源 什么是javascript注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站...
防js代码注入
WiFi_Uncle的专栏
10-11 5095
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
ctf xss注入.pdf
02-11
为了实现这一目标,我们需要利用XSS注入技巧来插入一段JavaScript代码,使其能够在用户访问网页时执行。 - **步骤1:** 在开发者工具中打开控制台,观察页面加载过程中的请求和响应。 - **步骤2:** 分析页面结构,...
XSS注入知识点总结.pdf
02-07
例如,可以通过提交JavaScript的弹窗代码(如`<script>alert(/xss/)</script>`)到Web应用的输入框中,如果这段代码被当作普通文本处理,那么在页面加载时就会出现弹窗,从而确认XSS漏洞的存在。 XSS漏洞根据其行为...
Laravel5中防止XSS跨站攻击的方法
10-21
在Web开发中,跨站脚本攻击(XSS攻击)是一种常见的安全威胁,攻击者通过注入恶意脚本代码到网页中,以达到窃取信息、破坏网站功能等目的。Laravel作为PHP的一种框架,为了增强安全性,在其5.0版本中提供了集成扩展...
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
06-12
我刚入行的时候做过一个小小的页面工具,其中有一个步骤是把一些代码输出到页面上,当时我用的是php做的,写了个for循环,读取每一行的内容,然后echo出来。但是我发现页面排版老是那么的乱,怎么缩进都没有了?有一些代码还显示不出来?这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容被浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用nbsp; ……”这时我才反应过来:“哦,原来如此……”。那时我才知道,在html的输出上代码和内容还是得程序员自己去区分的。
web安全XSS攻击及防御pdf
08-25
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不充分或者处理不当,导致恶意脚本被注入到网页中。当其他用户访问这些包含恶意...
如何避免JavaScript 注入攻击?
qq_43288299的博客
09-27 4178
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
javascript注入
weixin_38171245的博客
12-19 99
javascript注入 <head> <title>脚本学习</title> </head><body><input type="text" id="username" /><input type="button" value="show" onclick="show()" /></...
JS代码防止SQL注入的方法(超简单)
零一
12-04 2522
1.URL地址防注入: //过滤URL非法SQL字符 var sUrl=location.search.toLowerCase(); var sQuery=sUrl.substring(sUrl.indexOf("=")+1); var re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'|"|;|>|...
html 中 textarea input 的输入、存储、显示 与 xss 防御
张圣晨的博客
01-15 2620
html 中 textarea input 的输入、存储、显示 与 xss 防御。需求如下: 存储用户在 textarea input 中输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。 存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 &amp;lt; 修改为 &amp;amp;l...
后台服务,注入input事件
xiaolli的专栏
07-14 850
service 的启动界面 @Override public IBinder onBind(final Intent intent) { Log.i("service onBind"); return new IMyAidlInterface.Stub() { @Overrid public void te
跨站脚本攻击XSS事件注入
03-11
### 跨站脚本攻击(XSS)事件注入的工作原理 跨站脚本攻击(XSS)中的事件注入是指攻击者利用HTML标签内的事件处理属性来触发恶意JavaScript代码的执行。这类攻击通常发生在输入未被充分验证或转义的情况下,允许攻击者将带有事件处理器的HTML标签插入到页面中。 例如,考虑一个简单的HTML表单字段,如果应用程序未能正确过滤用户提交的数据,则可能接受如下形式的输入: ```html <input type="text" onfocus="javascript:alert('XSS')" /> ``` 当此输入保存并显示给其他用户时,`onfocus`事件会在任何用户聚焦于该输入框时触发警报对话框[^1]。这只是一个简单示例;实际攻击可能会更加复杂和有害,比如收集用户的Cookie或其他敏感数据。 ### 防御措施 针对此类攻击的有效预防策略包括但不限于以下几个方面: #### 输入验证与清理 确保所有来自客户端的数据都经过严格的验证和清理过程,移除潜在危险字符以及防止非法内容进入服务器端逻辑或者数据库存储层。 #### 输出编码 对于动态生成的内容,在将其呈现回浏览器之前应进行适当的HTML实体化转换,这样即使存在恶意字符串也无法被执行为有效载荷。 #### HTTP头设置 使用特定HTTP响应头部如Content Security Policy (CSP),它能够定义哪些资源是可以加载和执行的,从而进一步减少成功实施XSS的风险。 #### 使用框架自带的安全特性 现代Web开发框架往往内置了许多用于抵御各种类型的攻击的功能,默认启用这些选项可以帮助减轻开发者手动实现额外安全性的负担。 ```python from flask import Flask, escape app = Flask(__name__) @app.route('/') def index(): user_input = "<script>alert('XSS')</script>" safe_output = escape(user_input) return f"<p>{safe_output}</p>" ``` 上述Python代码片段展示了如何通过Flask库提供的`escape()`函数自动对特殊字符进行转义处理,以防范反射型XSS风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值