zoukankan      html  css  js  c++  java
  • Pikachu-XSS防范措施及href和js输出点的案例

    xss常见防范措施                 

    总的原则:输入做过滤,输出做转义。

    ●过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字。

    ●转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面进行js转义

    xss之href输出                  

    先查看下后台源码

    输出在a标签的href属性里面,可以使用javascript协议来执行js

    payload:javascript:alert(111)

    查看也网页源码,ctrl+f,搜索111。确实成功啦

    那么在<a>标签里的 href作输出 的时候,到底改怎样防范呢???

    如果仅仅是使用htmlspecialchars做处理是不行的,

    有两个步骤,

    ●因为href一般是用来写超链接的,所以 我们可以在输入的时候仅仅  只允许http,https开头的协议,否则不允许输入;

    ●其次在进行htmlspecialchars处理。

    xss之js输出                    

    输入111,查看下网页源码,ctrl+f搜索111。

    输入被动态的生成到了javascript中,如何是好。

    构造闭合,把原本的<script>闭合掉,再插入我们自己的<script>

    输入:x'</script><script>alert('xss')</script>

    这里讲输入动态的生成到了js中,形成xss
    javascript里面是不会对tag和字符实体进行解释的,所以需要进行js转义

    讲这个例子主要是为了让你明白,输出点在js中的xss问题,应该怎么修?
    这里如果进行html的实体编码,虽然可以解决XSS的问题,但是实体编码后的内容,在JS里面不会进行翻译,这样会导致前端的功能无法使用。
    所以在JS的输出点应该使用对特殊字符进行转义

  • 相关阅读:
    Event Recommendation Engine Challenge分步解析第五步
    Event Recommendation Engine Challenge分步解析第四步
    Event Recommendation Engine Challenge分步解析第一步
    Event Recommendation Engine Challenge分步解析第三步
    Event Recommendation Engine Challenge分步解析第二步
    pickle详解
    服从正态分布的样本似然估计的期望和方差
    实战Google深度学习框架-C5-MNIST数字识别问题
    python如何直接控制鼠标键盘
    需要注意的面试题
  • 原文地址:https://www.cnblogs.com/escwq/p/12608900.html
Copyright © 2011-2022 走看看