URL参数过滤时如何防止XSS攻击绕过?
我在做用户分享链接功能时发现,用户输入的URL参数如果包含alert(1)会被正确拦截,但换成大写或者加注释就能绕过了,该怎么改进过滤逻辑呢?
尝试过用正则/<script>/i匹配标签,但发现这样:
// 用户输入的恶意参数
const userInput = "?src=//example.com?callback=alert(1)";
// 当前过滤函数
function sanitizeParam(param) {
return param.replace(/<script>/gi, '');
}
这样处理后参数依然能执行脚本,是不是过滤策略太简单了?有没有更可靠的URL参数净化方案?
- 1
回答
5浏览
React组件直接渲染URL参数时如何防范DOM型XSS攻击?
我在做搜索功能时遇到个问题,用户输入的搜索词会通过URL参数保存,然后用React组件显示出来。但测试时发现如果在地址栏输入类似search?query=<script>alert(1)&...
- 1
回答
12浏览
前端如何验证URL参数防止XSS注入?
我在开发用户资料页面时遇到问题,用户通过URL参数传递nickName,但发现有人传入<script>alert(1)</script>导致页面被注入。我试过用正则匹配过滤标签...
- 1
回答
31浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
- 2
回答
19浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
- 1
回答
17浏览
前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请...
- 1
回答
91浏览
前端应急响应时如何快速定位XSS漏洞的攻击入口?
最近在处理一个紧急安全事件,发现有人利用表单提交功能注入了XSS脚本。我们用了OWASP ZAP扫描,但始终找不到具体漏洞点。前端代码里有个动态渲染的评论区,像这样: <div id="comm...
- 2
回答
45浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
- 2
回答
23浏览
Vue路由权限验证时如何阻止直接输入URL访问?
最近在做Vue项目权限控制,给路由加了meta配置和导航守卫,但发现当用户直接输入受保护页面的URL时,页面还是会先闪现一下再跳转到登录页。这是怎么回事啊? 代码是这样写的: const routes...
- 1
回答
14浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
- 2
回答
33浏览
前端如何有效过滤输入框中的特殊字符防止XSS攻击?
我在做登录表单时发现,用户可以通过输入框发送类似;alert(1)的恶意代码。尝试用正则表达式过滤,但发现当用户快速输入时,分号还是能通过。还试过在CSS里加了这段样式: input { /* 尝试用...
<script>标签根本防不住 XSS,特别是 URL 参数这种上下文里,攻击手法太多了。试试这个方法:别想着靠正则把所有恶意内容删掉,根本拦不全,大小写、编码、注释、js 伪协议都能绕过。正确的做法是:对 URL 参数里的值做严格白名单校验 + 转义输出。
比如用户分享链接的参数,假设是 callback 或 src 这种,你应该:
1. 明确允许的域名白名单
2. 用 URL 解析函数拆解输入,检查协议、host 是否在白名单内
3. 如果是纯字符串参数(比如用户名),只允许字母数字下划线
这里有个实际可用的 sanitize 函数示例:
另外,在前端展示或拼接 URL 的时候,一定要用
encodeURIComponent包一层再放进去。记住一点:输入过滤不可靠,输出转义 + 上下文隔离才是王道。如果只是分享链接,建议后端也加一层校验,别全靠前端拦。
防XSS的核心是「哪里输出,哪里转义」,不是靠过滤关键字。比如你在前端展示用户输入的URL参数时,应该对输出位置做处理:
1. 如果是放在HTML里,用innerText或者textContent
2. 如果是放在属性里,用encodeURIComponent
3. 如果是放在script标签里,用JSON.stringify
但你这里是要过滤URL参数,建议用白名单校验 + 编码的方式处理,比如:
但这也不是万能的,因为有些场景需要保留特殊字符。所以更推荐你在前端展示用户输入的地方,做输出转义而不是输入过滤。
如果非得用过滤,可以试试用DOMPurify这个库,它是专门处理XSS的,比自己写正则靠谱多了:
总之,XSS这玩意儿靠过滤关键字是防不住的,必须用成熟方案 + 输出转义一起上。别指望一个正则就能解决问题,不然永远在补洞。