XSS防护
本话题发布XSS防护相关的问答文章和技术分享,将持续更新,为您推荐了9篇问答,访问即可查看更多精彩内容。
-
1
回答
27浏览
富文本编辑器怎么防XSS攻击?
我在项目里用了富文本编辑器,用户可以贴各种HTML内容,但担心被XSS注入。试过用DOMPurify.sanitize()处理,但有些样式会被干掉,客户不接受。 有没有既能保留合理标签(比如<b...
-
2
回答
30浏览
前端输入过滤真能防XSS吗?我这样写安全吗?
我在React项目里做用户评论功能,担心XSS攻击,就对输入做了个简单过滤,但不确定这样够不够。比如把script标签替换成空字符串,但听说还有其他绕过方式? 下面是我现在的处理代码: const s...
-
2
回答
79浏览
xss库过滤后内容变空白是怎么回事?
我用 xss 库对用户输入做过滤,但有些内容直接变成空字符串了,比如输入 alert(1) 确实该被清掉,但像 test 这种,为啥连 "test" 都没了? 我试过默认配置和自定义白名单,还是不行。...
-
2
回答
56浏览
Vue中使用v-html时如何避免XSS漏洞?
在Vue项目里用v-html渲染用户输入的内容时,发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号,但复杂HTML结构就乱了,怎么安全地处理用户输入避免XSS? <te...
-
2
回答
56浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
-
2
回答
45浏览
React中使用dangerouslySetInnerHTML时如何有效防止XSS攻击?
我在做一个可以渲染富文本内容的功能,直接用dangerouslySetInnerHTML渲染用户提交的HTML字符串时,发现能被注入恶意脚本。虽然用了htmlspecialchars转义,但页面样式完...
-
2
回答
45浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
-
1
回答
46浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
-
2
回答
99浏览
用innerHTML显示用户评论时怎么防XSS?样式转义后全乱了
我在做论坛帖子展示功能时,用渲染用户提交的内容,结果测试时发现能注入脚本。后来改用转义函数把<符号替换成<,但用户写的带CSS样式的评论就显示成纯文本了。 比如用户输入: 重要公告...
