在前端处理从后端接收到的JSON数据时,预防跨站脚本(XSS)攻击是一个非常重要的安全措施。XSS攻击可以通过注入恶意脚本到网页中,从而窃取用户信息或执行其他有害操作。以下是一些有效的方法来防止XSS攻击:
js脚本注入
你说的是防止xss脚本注入攻击吧。
要么选择后端直接过滤掉这种类似的<script>alert()</script>字符串,但是这对客户而言又不太友好。
我用的最直接的方法,取得这样的数据在前端显示的时候用
vara="<xmp>"+"<script>alert()</script>"+"</xmp>";再把a加到你要展示的地方,浏览器就不会识别它成js代码去执行了。
仅做参考,按你的实际情况做选择吧
如何解决繁琐的WEB前端的XSS问题
后台做一层过滤,前台文本编辑器可以自己做一层标签过滤,不允许一些符号的输入就行了xss攻击前端能做的有限因为好多都是url转码来通过参数找漏洞,所以后台也要做一层过滤(例如nodejs的SQL库就只允许单行sql,防止通过xss做注入)java之类的有现成多xss过滤器剩下的就做ip黑名单吧,防止多次攻击
如何防止跨站点脚本攻击
你好~XSS漏洞产生的原因:跨站点脚本的主要原因是程序猿对用户的信任。 开发人员轻松地认为用户永远不会试图执行什么出格的事情,所以他们创建应用程序,却没有使用任何额外的代码来过滤用户输入以阻止任何恶意活动。 另一个原因是,这种攻击有许多变体,用制造出一种行之有效的XSS过滤器是一件比较困难的事情。 但是这只是相对的,对用户输入数据的”编码”和”过滤”在任何时候都是很重要的,我们必须采取一些针对性的手段对其进行防御。 如何创造一个良好的XSS过滤器来阻止大多数XSS攻击代码1 .需要重点”编码”和”过滤”的对象the URLHTTP referrer objectsGET parameters from a formPOST parameters from a dataheaders datadatabase data防御XSS有一个原则:以当前的应用系统为中心,所有的进入应用系统的数据都看成是输入数据(包括从FORM表单或者从数据库获取到的数据),所有从当前应用系统流出的数据都看作是输出(包括输出到用户浏览器或向数据库写入数据)对输入的数据进行”过滤”,对输出数据进行”编码”。 这里的”编码...你好~XSS漏洞产生的原因:跨站点脚本的主要原因是程序猿对用户的信任。 开发人员轻松地认为用户永远不会试图执行什么出格的事情,所以他们创建应用程序,却没有使用任何额外的代码来过滤用户输入以阻止任何恶意活动。 另一个原因是,这种攻击有许多变体,用制造出一种行之有效的XSS过滤器是一件比较困难的事情。 但是这只是相对的,对用户输入数据的”编码”和”过滤”在任何时候都是很重要的,我们必须采取一些针对性的手段对其进行防御。 如何创造一个良好的XSS过滤器来阻止大多数XSS攻击代码1 .需要重点”编码”和”过滤”的对象The URLHTTP referrer objectsGET parameters from a formPOST parameters from a dataheaders datadatabase data防御XSS有一个原则:以当前的应用系统为中心,所有的进入应用系统的数据都看成是输入数据(包括从FORM表单或者从数据库获取到的数据),所有从当前应用系统流出的数据都看作是输出(包括输出到用户浏览器或向数据库写入数据)对输入的数据进行”过滤”,对输出数据进行”编码”。 这里的”编码”也要注意,必须针对数据具体的上下文语境进行针对性的编码。 例如数据是输出到HTML中的那就要进行HtmlEncode,如果数据是输出到javascript代码中进行拼接的,那就要进行javascriptEncode。 如果不搞清楚数据具体输出的语境,就有可能因为HtmlParser()和javascriptParser()两种解析引擎的执行先后问题导致看似严密的”编码”形同虚设。
发表评论