继续谈论XSS

最新推荐文章于 2025-08-10 19:51:39 发布
转载 最新推荐文章于 2025-08-10 19:51:39 发布 · 66 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/336638
文章标签:

#json

这篇文章基于上篇谈论XSS ,想说下自己工作过程中遇到的xss的问题。

易出现XSS的场景

1 jsonp

说说jsonp 中也有说过,jsonp其实是很容易出现安全问题的。由于jsonp的callback是由参数指定的,而必须在response中返回,所以这里的jsonp很容易出现的就是XSS漏洞了。服务端要切记着对这个callback进行处理,比如可以使用白名单机制,或者使用过滤黑名单。我个人一般使用的是强制callback为数字、英文单字和点。

关于jsonp很容易出现的还有个UTF-7 XSS的漏洞,简单来说UTF-7XSS基本条件就是XSS的漏洞代码会在头部返回,浏览器会自动将网页的字符编码解读为UTF-7。从而避过过滤机制。当然这个对于白名单过滤是没有用的。

2 DOM XSS

比如页面中有这么个脚本:

1
<html>
1
2
3
4
5
6
7
8
Hi
<script>
var  pos=document.URL.indexOf( "name=" )+5;
document.write(document.URL.substring(pos,document.URL.length));
</script>
<br>
Welcome to our system
</html>

这里是会将document.url打在页面的,如果name的参数传递<script>alert(1);</script>那么就是一个xss漏洞了。

这种js引发的DOM漏洞其实现在很多浏览器已经能自动修复了。

3 接口

接口返回的数据往往是json或者xml,一般认为返回的数据不会显示在html上面,所以很有可能不会使用诸如htmlspecialchars等特殊字符转义处理,但是往往所有接口都可以将返回的数据输出在浏览器上的。所以对于json和xml的输出也需要注意下。

4 iframe

比如 如何根据iframe内嵌页面调整iframe高宽续篇 中说的,使用iframe来自适应高度,也是可能会出现xss的,而这个xss解决就简单多了。直接使用白名单,将参数直接过滤了

5 管理后台

不要以为管理后台可以草率处理,管理后台正是持久性xss的战场之一。管理后台返回的html参数请使用htmlspecialchars返回,



本文转自轩脉刃博客园博客,原文链接:http://www.cnblogs.com/yjf512/p/3465920.html,如需转载请自行联系原作者

46、跨站脚本攻击与客户端 JavaScript 事件处理
sony5的博客
06-21 15
本文详细介绍了跨站脚本攻击(XSS)的原理、攻击过程及防御方法,同时深入解析了客户端JavaScript的事件处理机制,包括事件类型、事件处理程序注册、事件传播机制以及默认动作的控制。通过实际代码示例,展示了如何防范XSS攻击和灵活运用JavaScript事件模型开发交互性强的Web应用。
XSS-lab通关心得
Mild_Wind_Jun的博客
06-21 501
1、无障碍 2、注意要找好回显点,回显点可能有几个,要找对了 3、有时会遇到htmlspecialchars函数,用伪协议或on事件等按情况去绕过 过滤on、script 4、on事件绕过 5、a标签的href属性伪协议绕过 6、大小写绕过 过滤了on、script、href 7、双写绕过 过滤script、on、href 8、编码绕过--卡关了 9、 ...
XSS 前端防火墙 —— 内联事件拦截
放逐的天空
02-05 1040
关于 XSS 怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。 几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未中断过,不乏一些大网站也时常爆出,小网站更是家常便饭。 而本文介绍的则是另一种预防思路 —— 通过前端监控脚本,让每一个用户
交大继续教育计算机论文,上海交通大学继续教育学院学习系统常见问题和解决方案...
weixin_42517406的博客
07-10 397
上海交通大学继续教育学院网站常见问题及解决办法一、学习系统Q:为什么我不能登录学习系统?A:这可能有两部分的原因:(一)如果出现了“用户名或密码错”的提示字样,那么就是你输入的用户名或密码有误,请重试。如果还是提示出错,你可以通过两个途径来找回密码:1、点击登录框下面的“找密码”,通过你输入设置的问题、答案来找回密码。2、找管理员解决。(二)如果出现的是一个空白页,很快又回到了主页,那么就是...
XSS 前端防火墙—内联事件拦截
weixin_33901843的博客
07-03 157
关于XSS怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。   几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未中断过,不乏一些大网站也时常爆出,小网站更是家常便...
XSS 前端防火墙(1):内联事件拦截
gscaiyucheng的专栏
09-21 811
XSS 前端防火墙(1):内联事件拦截 原文出处: 百度FEX - zjcqoo    关于 XSS 怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。 几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞
谈论 ModSecurity 和新的 Coraza WAF
allway2的博客
08-29 2275
我们的 CRS 联合负责人 Christian Folini 博士是准官方 ModSecurity 手册第二版的作者,我们的项目汇集了 ModSecurity 在非常多样化的设置中的独特专业知识。自从 ModSecurity 被 Trustwave 接管以来,我们一直在研究它的开发,我们看到主要开发人员加入和离开公司,我们提出了数十个问题,我们贡献了几个拉取请求。我们的沙箱将是一种有用的资产,可以帮助我们评估和比较各种引擎,为我们的用户提供尽可能多的选择。其次,智能在规则集中,而不是在引擎中。...
当我们在谈论“服务治理”的时候,都在谈论些什么?
丁码农
01-05 728
高并发、高可用架构系列 –带你构建大规模分布式服务 阅读本(系列)文章,你将会收获: 面、体系化的了解大规模分布式系统中的服务治理 一线互联网公司如何应对高并发、大流量场景,稳定性保障体系揭秘(高并发高可用必备) 常见限流算法的实现,阿里巴巴(历年双十一)限流、熔断保护利器sentinel的设计原理和实践经验(高并发高可用必备) 高性能、高可用配置中心的本质、架构设计思想、原理和实践经验(微服...
当我们在谈论前端加密时,我们在谈些什么
weixin_34216036的博客
08-10 403
当然在谈安。 前端安是Web安的一部分,常见的安问题会有XSS、CSRF、SQL注入等,然而这些已经在程师界得到了相当高的重视并且有了很成熟的解决方案。 所以我们今天只谈前端“加密”,一个部分人认为没有意义的工作。 有争议的事情总是那么因崔斯汀,接下来就让我们谈谈前端传输中的数据“加密” 。 前端传输的数据我们应该用什么算法加密...
JVM高频面试基本问题与知识点整理
热门推荐
张彦峰的博客
01-16 86万+
JVM高频面试基本问题与知识点整理
shopping
03-30
当我们谈论"购物"与"JavaScript"结合时,我们可以深入探讨以下几个关键知识点: 1. **前端框架**:在构建购物网站时,JavaScript框架如React、Angular或Vue.js常被用于创建动态用户界面,提供流畅的购物体验。这些...
JavaScript中DOM详解
10-24
首先,当我们谈论DOM(文档对象模型)时,我们实际上是在讨论一个树状结构,它表示了文档中的每个对象。在Web开发中,文档通常是指HTML文档。通过DOM,JavaScript可以访问和修改HTML和XML文档的所有内容。当...
asynchttpclient post传值解析
08-01
异步操作是其核心特性,这意味着我们的应用可以在等待服务器响应的同时继续执行其他任务,提高了程序的响应性和用户体验。 ### POST请求的基本结构 POST请求通常用于向服务器提交数据,如表单数据、上传文件等。在...
json 特性 -- justctf 2025 Ticket Master
weixin_59166557的博客
08-08 314
'section''''seat'首先其需求一个json我们没有key,所以唯一合法的票证是传递空票接下来程序利用这些数据生成图形化票证type。
用 AI 进行“多格式转换”拯救数据搬运:订单数据处理实战
小 tom的博客
08-10 612
AI助力数据格式转换:订单JSON转Excel实战 本文介绍了利用AI大模型快速实现订单数据格式转换的实践方案。针对常见的JSON订单数据转Excel需求,传统方法(如Python脚本或Excel正则处理)耗时且易错,而通过AI工具(如豆包、DeepSeek)只需简单prompt即可完成转换。文章演示了完整的处理流程:1)JSON解析与结构验证;2)数据扁平化处理(拆解多商品订单);3)用Pandas构建DataFrame;4)导出Excel文件。更进一步,通过Trae AI自动生成Python Web应用
MyBatis-Plus中JSON字段处理的常见问题与解决方案
Vic10101的博客
08-08 436
当我们使用自定义Mapper方法时,MyBatis会严格按照XML中定义的SQL和映射规则执行操作,包括使用指定的typeHandler处理JSON字段。-- 其他字段映射... --></insert>通过以上配置,我们就可以正常使用MyBatis-Plus的内置方法来处理包含JSON字段的实体对象了。这个问题的核心在于MyBatis-Plus的自动SQL生成机制与自定义类型处理器之间的兼容性问题。
jmeter常规压测【读取csv文件】
最新发布
m0_72732835的博客
08-10 273
例如:常规压测100个不同的用户,读取100个用户token【没有要求的一个token就直接在请求头中添加就可以了】
一个程序通过 HTTP 协议调用天气 API,解析 JSON 格式的天气数据,提取关键信息并格式化输出:日期、天气状况、温度范围、风向、湿度等核心气象数据。
2401_82762455的博客
08-07 262
符合预期功能,代码可正常使用。如果需要扩展更多气象数据(如空气质量。),只需参考现有逻辑添加对应字段的提取代码即可。
XSS攻击常用语句集合
"此资源主要包含了各种XSS(跨站脚本攻击)的示例语句,用于网站安测试,帮助检测XSS漏洞。通过这些预设的攻击语句,可以快速检验网页是否对用户输入进行了充分的过滤和转义,以防止恶意脚本被执行,保护用户数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值