我的毕业设计系统里面的论坛部分,包括评论区和文章显示,采用vue的v-html命令,会导致XSS脚本注入问题,通过npm引入xss包可以解决一部分,但效果不尽如人意;我对比了本站--CSDN的评论发布功能,它是对评论内容进行了区分;当输入img标签时,我发现,如果里面输入的src路径不是一个正确的可访问的路径,它就不会被拦截,而如果是可访问的路径,它就可以被拦截;这个是如何做到的呢,以及,一般的后端与前端,应当如何取防止XSS攻击。
3条回答 默认 最新
juer_0001 2023-04-19 18:52关注首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。
在前端方面,Vue中的v-html指令和React中的dangerouslySetInnerHTML方法都存在XSS风险。对于这种情况,可以通过前端输入过滤来进行防范,例如使用xss或dompurify等库对用户输入的数据进行过滤或转义。但是,仅仅在前端进行输入过滤并不足够,因为攻击者可以通过其他方式提交恶意数据,绕过前端的过滤,因此后端也应该进行输入过滤和输出编码。
对于图片的检测,常见的做法是在后端对上传的图片进行检查和过滤,比如检查图片类型、大小和是否包含恶意代码。同时,为了防止恶意图片被插入到网页中,可以使用Content-Security-Policy(CSP)头部来限制可信来源。
对于本站CSDN的评论发布功能,其实现原理可能是对图片路径进行了白名单限制,只有在白名单中的图片路径才可以被显示,其他非法的图片路径则会被拦截。但这种方法并不是完全可靠的,因为攻击者可以通过各种手段绕过这种限制。
因此,对于XSS攻击,应该采取多层防御策略,包括前端输入过滤、后端输入过滤和输出编码、图片类型过滤和CSP限制等措施。同时,定期对网站进行安全漏洞扫描和修复也是很重要的。
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 编辑记录
分享
- 2023-04-19 18:41回答 3 已采纳 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。 在前端方面,
- 2021-12-27 15:24回答 1 已采纳 这种只能手工测试,或者你用绿盟的极光试试
- 2018-10-18 09:03回答 1 已采纳 正常情况不应该,应该过滤器肯定在controller之前执行,你是不是没有从新set,或者新增个数值,set进去,controller去获取,正常情况下,应该是没问题的,简单得做法,做配置读取档,简单
- 2019-01-25 13:39琦彦的博客 在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来...
- 2017-06-15 03:38回答 1 已采纳 It depends on if the user can manipulate those variables or not. If they can prior to them being e
- 2022-09-19 20:45回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
- 2016-02-09 10:34回答 1 已采纳 Ok, so wanted to share an update and close this. Here is what I did to overcome my server injectio
- 2021-06-27 19:30居十四的博客 前端安全: 如何防止 XSS 攻击? 分享简介 今天想分享给大家的是 如何防止 XSS 攻击. 为什么想分享的原因是: 感觉大家对前端安全了解不够, 重视不够. 内容是: 什么是 xss, 常见 xss 的类型. 并且通过小游戏来实践. ...
- 2011-08-25 13:15回答 4 已采纳 Try using prepared statements. They are designed to automatically escape things. They should also
- 2019-08-13 11:12回答 4 已采纳 还可以在页面输入框中输入任何 html 页面元素,如能被后台拦截,说明防护是成功的,例如: ``` ``` 如果提交后提示错误或者,回显时被转义掉了,就说明没问题。否则页面回显时可能某项
- 2015-03-11 07:44回答 1 已采纳 No, there is no shortcut. Data escaping always needs to happen on a case by case basis; not only w
- 2021-12-13 20:06菜鸟丶攻城狮的博客 前端开发人员必备安全防范知识——XSS攻击与防御,希望大家可以认识到xss攻击的危害
- 2017-10-17 08:26回答 2 已采纳 【1】拦截器中获取request中的数据 这个貌似不难,, 【2】过滤可能产生的sql注入与xss攻击 这个的话,简单点就是过滤非法字符,比如&,之类的, 有问题还可以追问
- 2021-06-16 08:09weixin_39762001的博客 什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID...
- 2019-10-13 15:18thlzjfefe的博客 在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来...
- 没有解决我的问题, 去提问
问题事件
系统已结题
4月27日
已采纳回答
4月19日-
创建了问题
4月19日
悬赏问题
- ¥15 救!ENVI5.6深度学习初始化模型报错怎么办?
- ¥30 eclipse开启服务后,网页无法打开
- ¥30 雷达辐射源信号参考模型
- ¥15 html+css+js如何实现这样子的效果?
- ¥15 STM32单片机自主设计
- ¥15 如何在node.js中或者java中给wav格式的音频编码成sil格式呢
- ¥15 不小心不正规的开发公司导致不给我们y码,
- ¥15 我的代码无法在vc++中运行呀,错误很多
- ¥50 求一个win系统下运行的可自动抓取arm64架构deb安装包和其依赖包的软件。
- ¥60 fail to initialize keyboard hotkeys through kernel.0000000000