XSS防护
本话题发布XSS防护相关的问答文章和技术分享,将持续更新,为您推荐了6篇问答,访问即可查看更多精彩内容。
-
2
回答
7浏览
Vue中使用v-html时如何避免XSS漏洞?
在Vue项目里用v-html渲染用户输入的内容时,发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号,但复杂HTML结构就乱了,怎么安全地处理用户输入避免XSS? <te...
-
2
回答
19浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
-
2
回答
24浏览
React中使用dangerouslySetInnerHTML时如何有效防止XSS攻击?
我在做一个可以渲染富文本内容的功能,直接用dangerouslySetInnerHTML渲染用户提交的HTML字符串时,发现能被注入恶意脚本。虽然用了htmlspecialchars转义,但页面样式完...
-
1
回答
27浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
-
1
回答
31浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
-
2
回答
65浏览
用innerHTML显示用户评论时怎么防XSS?样式转义后全乱了
我在做论坛帖子展示功能时,用渲染用户提交的内容,结果测试时发现能注入脚本。后来改用转义函数把<符号替换成<,但用户写的带CSS样式的评论就显示成纯文本了。 比如用户输入: 重要公告...
