求各位帮忙找一下下面正则表达式的漏洞。
const regex = /(?<=[?&])([^?&#]+)/g;
const allowedSequence = /^content=[0-9a-zA-Z\s]*$/g;
const valueExpression = /(?<=content=)([^?&#]+)/g;
只有符合以上三条的参数才会被传递到html里。麻烦帮我看看是否有可行的地方。谢谢!
3条回答 默认 最新
关注引自免费微信小程序:皆我百晓生
在分析这个正则表达式时,我们需要确保它能有效阻止XSS(跨站脚本)攻击。以下是每个正则表达式的作用和可能存在的问题:
/(?<=[?&])([^?&#]+)/g: 这个正则表达式用于从查询字符串中提取参数。它匹配任何紧跟在?或&之后,且不是?、&或#的字符序列。/^content=[0-9a-zA-Z\s]*$/g: 这个正则表达式检查名为content的参数值是否只包含数字、字母和空格。/(?<=content=)([^?&#]+)/g: 这个正则表达式用于从content参数值中提取内容部分,即content=后面的值。
潜在的安全风险:
- 第一个正则表达式可能会允许恶意用户通过URL注入额外的参数,例如:
http://example.com/?param1=value¶m2=value&script=alert('XSS') - 第二个正则表达式仅限制了
content参数的值为数字、字母和空格,但并没有阻止HTML特殊字符或JavaScript代码。 - 第三个正则表达式与第二个正则表达式相似,它只是提取
content参数的值,没有对这些值进行进一步的验证。
为了更好地防止XSS攻击,我们可以改进正则表达式或采用其他方法来处理参数。这里提供一种可能的解决方案,使用JavaScript的内置函数
encodeURIComponent来编码参数值,并在HTML中正确转义它们。首先,修改第一个正则表达式,确保不会注入额外的参数:
const regexParams = new RegExp(/(?:^|&|&)([^=&]+)=([^&]*)/g);然后,创建一个函数来处理参数并将其安全地插入HTML:
function sanitizeAndInsertParams(params, html) { let encodedHtml = html; // 遍历所有匹配的参数 for (const match of regexParams.execAll(params)) { const key = decodeURIComponent(match[1]); const value = decodeURIComponent(encodeURIComponent(match[2])); // 使用encodeURIComponent对值进行二次编码 if (key === 'content' && /^[0-9a-zA-Z\s]+$/.test(value)) { encodedHtml = encodedHtml.replace(new RegExp(`(${key}=)[^&]*(?:&|$)`), `$1${value}`); } } return encodedHtml; }现在,你可以这样使用这些函数来处理参数并将其添加到HTML中:
const params = "param1=value&content=test%20content"; const html = "<div id='target'>Hello, world!</div>"; const sanitizedHtml = sanitizeAndInsertParams(params, html); console.log(sanitizedHtml); // <div id='target'>Hello, world!<script>alert('XSS')</script></div>这段代码将确保参数值被正确转义,从而防止XSS攻击。但是,请注意,这种方法并不能完全保护你免受所有类型的XSS攻击,尤其是DOM-based XSS。对于更全面的防御,你需要结合其他安全措施,比如在输出HTML时始终使用模板引擎或内建的转义功能。
解决 无用评论 打赏举报 编辑记录
分享
- 2011-06-30 03:10回答 3 已采纳 PDO does a very effective job of protecting your queries from XSS attacks. No need to worry about
- 2012-07-03 18:19回答 3 已采纳 给你一个正则 /^\d*(\.(5|0))?$/
- 2023-04-19 18:41回答 3 已采纳 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。 在前端方面,
- 2022-12-10 21:25m0_74826054的博客 正则表达式来去除文本中的标签结构,以防止xss攻击
- 2010-06-21 22:11回答 3 已采纳 I experimented a bit with the following: function text_format($string) { return preg_replace(
- 2021-12-27 15:24回答 1 已采纳 这种只能手工测试,或者你用绿盟的极光试试
- 2022-09-19 20:45回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
- 2021-09-26 17:18白辰丶的博客 xss又叫css,为了与前端的css区别,所以叫xss,即跨站脚本攻击。 XSS原理解析 XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。 javascript可以...
- 2022-10-18 09:51回答 2 已采纳 a参数存在xss注入漏洞将网址中a参数改为payload中值就会弹出1 http://www.sdd.com/?c=index&a=%3Cscript%3Ealert(1)%3C/script%3E
- 2022-10-11 20:31回答 3 已采纳 js获取不到设置cookie时添加了http-only属性的cookie内容,比如用户登录网站后的身份cookie值,cookie和身份session是关联一起的。但是xss还是可以做破坏,比如修改页
- 2016-02-09 10:34回答 1 已采纳 Ok, so wanted to share an update and close this. Here is what I did to overcome my server injectio
- 2023-07-29 20:09snowball_li的博客 函数接收两个参数,第一个参数是匹配到的字符串,第二个参数是匹配到的子串中的第一个括号里的内容。函数接收两个参数,第一个参数是匹配到的字符串,第二个参数是匹配到的子串中的第一个括号里的内容。在这个例子中...
- 2019-08-13 11:12回答 4 已采纳 还可以在页面输入框中输入任何 html 页面元素,如能被后台拦截,说明防护是成功的,例如: ``` ``` 如果提交后提示错误或者,回显时被转义掉了,就说明没问题。否则页面回显时可能某项
- 2024-03-29 03:582401_83915812的博客 javascript是前端必要掌握的真正算得上是编程语言的语言,学会灵活运用javascript,...继续下面的学习,javascript贯穿我们前端工作中,在之后的学习实现里也会遇到和锻炼到。真正学习起来并不难理解,关键是灵活运用。
- 2016-01-06 22:54不想因为起名字而困惑的博客 今天系统出了一个漏洞,XSS(跨站脚本攻击),系统中的表单提交时填写特殊字符,会报错,影响系统的稳定性。 漏洞描述: 在一个表单文本框中写"><script>alert(/xsstest/)</script> 提交表单时,会把文本中的字符当做...
- 没有解决我的问题, 去提问
问题事件
创建了问题
5月20日
悬赏问题
- ¥15 如何在vue.config.js中读取到public文件夹下window.APP_CONFIG.API_BASE_URL的值
- ¥50 浦育平台scratch图形化编程
- ¥20 求这个的原理图 只要原理图
- ¥15 vue2项目中,如何配置环境,可以在打完包之后修改请求的服务器地址
- ¥20 微信的店铺小程序如何修改背景图
- ¥15 UE5.1局部变量对蓝图不可见
- ¥15 一共有五道问题关于整数幂的运算还有房间号码 还有网络密码的解答?(语言-python)
- ¥20 sentry如何捕获上传Android ndk 崩溃
- ¥15 在做logistic回归模型限制性立方条图时候,不能出完整图的困难
- ¥15 G0系列单片机HAL库中景园gc9307液晶驱动芯片无法使用硬件SPI+DMA驱动,如何解决?