bingbingyihao 2023-04-19 18:41 采纳率: 100%
浏览 40
已结题

关于论坛系统的防止XSS攻击的问题

我的毕业设计系统里面的论坛部分,包括评论区和文章显示,采用vue的v-html命令,会导致XSS脚本注入问题,通过npm引入xss包可以解决一部分,但效果不尽如人意;我对比了本站--CSDN的评论发布功能,它是对评论内容进行了区分;当输入img标签时,我发现,如果里面输入的src路径不是一个正确的可访问的路径,它就不会被拦截,而如果是可访问的路径,它就可以被拦截;这个是如何做到的呢,以及,一般的后端与前端,应当如何取防止XSS攻击。

img

img

  • 写回答

3条回答 默认 最新

  • juer_0001 2023-04-19 18:52
    关注
    • 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。

    • 在前端方面,Vue中的v-html指令和React中的dangerouslySetInnerHTML方法都存在XSS风险。对于这种情况,可以通过前端输入过滤来进行防范,例如使用xss或dompurify等库对用户输入的数据进行过滤或转义。但是,仅仅在前端进行输入过滤并不足够,因为攻击者可以通过其他方式提交恶意数据,绕过前端的过滤,因此后端也应该进行输入过滤和输出编码。

    • 对于图片的检测,常见的做法是在后端对上传的图片进行检查和过滤,比如检查图片类型、大小和是否包含恶意代码。同时,为了防止恶意图片被插入到网页中,可以使用Content-Security-Policy(CSP)头部来限制可信来源。

    • 对于本站CSDN的评论发布功能,其实现原理可能是对图片路径进行了白名单限制,只有在白名单中的图片路径才可以被显示,其他非法的图片路径则会被拦截。但这种方法并不是完全可靠的,因为攻击者可以通过各种手段绕过这种限制。

    • 因此,对于XSS攻击,应该采取多层防御策略,包括前端输入过滤、后端输入过滤和输出编码、图片类型过滤和CSP限制等措施。同时,定期对网站进行安全漏洞扫描和修复也是很重要的。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论 编辑记录
查看更多回答(2条)

报告相同问题?

问题事件

  • 系统已结题 4月27日
  • 已采纳回答 4月19日
  • 创建了问题 4月19日

悬赏问题

  • ¥15 (标签-matlab)
  • ¥15 手机添加cocks5协议没网络
  • ¥30 实验 :UML2.0 行为建模
  • ¥15 设计一种优化调度算法并结合论文中的案例给出调度计划
  • ¥15 py文件打包exe报错TypeError:expected str,bytes or os.PathLike object,not_io.BytesIO
  • ¥15 Java编写学籍信息管理系统
  • ¥15 IPXE网刻客户机找不到服务端
  • ¥15 小贝360-4 配二个 华772S 设置WⅰFi5G 连接
  • ¥15 vs2022的QT报错,好像是缺少winextras
  • ¥15 怎么看 cst中一个面的功率分布图