应用软件安全编程--17预防基于 DOM 的 XSS

DOM型XSS从效果上来说也属于反射型XSS,由于形成的原因比较特殊所以进行单独划分。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object 文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过 JS 脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过 DOM 来动态修改页面内容,从客户端获取 DOM 中的数据并在本地执行。当应用程序的客户端代码将不受信的参数直接用于动态更新页面的 DOM 节点,应用程序将易于受到基于DOM 的XSS攻击。

对于预防基于DOM的XSS的情况,示例给出了不规范用法(javascript 语言)示例。

javascript 复制代码
示例:

<script)

function           test(){

var str = document.getElementByld("text").value;

document.getElementByld("test").innerHTML="(a      href=""+str+")testLink(/a)";

 

</script)

 

<div              id="test"></div>



<input   type="text"id="text"   value=""/>

<input  type="button"  value="write"  onclick="test()"/>

上面的JavaScript 代码片段可从元素 input 中读取 text信息,并将其显示给用户。

在这里,'write'按钮的onclick 事件调用了 test()方法,而该函数直接引用用户输入的值修改页面 的 DOM 节点,当用户输入οnclick=alert(/xss/)//,应用程序将受到基于DOM 的 XSS 攻击。

为了避免基于Dom 的 XSS 攻击,建议采用以下方式进行防御:

a) 与预防反射型XSS 相同,对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如 く、〉、、"以及<script〉、javascript 等)进行过滤。

b) 与预防反射型 XSS 相同,根据数据将要置于HTML上下文中的不同位置(HTML 标签、HTML 属性、JavaScript脚本、CSS、URL), 对所有不可信数据进行恰当的输出编码。

c) 与预防反射型 XSS 相同,设置 HttpOnly 属性。

相关推荐
儒道易行35 分钟前
【DVWA】RCE远程命令执行实战
网络·安全·网络安全
Myli_ing1 小时前
HTML的自动定义倒计时,这个配色存一下
前端·javascript·html
Hacker_LaoYi1 小时前
网络安全与加密
安全·web安全
dr李四维1 小时前
iOS构建版本以及Hbuilder打iOS的ipa包全流程
前端·笔记·ios·产品运营·产品经理·xcode
雯0609~1 小时前
网页F12:缓存的使用(设值、取值、删除)
前端·缓存
℘团子এ1 小时前
vue3中如何上传文件到腾讯云的桶(cosbrowser)
前端·javascript·腾讯云
Koi慢热2 小时前
路由基础(全)
linux·网络·网络协议·安全
学习前端的小z2 小时前
【前端】深入理解 JavaScript 逻辑运算符的优先级与短路求值机制
开发语言·前端·javascript
彭世瑜2 小时前
ts: TypeScript跳过检查/忽略类型检查
前端·javascript·typescript
FØund4042 小时前
antd form.setFieldsValue问题总结
前端·react.js·typescript·html