富文本编辑器存储内容后渲染时如何有效拦截XSS攻击?
我在用Quill编辑器实现富文本功能时遇到问题,用户输入的<script>标签在存储到数据库后仍然会被渲染执行。之前用sanitize-html做了过滤,但发现标签被正常保留,而恶意脚本却没被拦截,这是哪里配置错了?
尝试过这样设置白名单:
const options = {
allowedTags: [ 'p', 'img', 'br', 'div' ],
allowedAttributes: {
'img': ['src']
}
};
sanitizeHtml(dirty, options);
但测试时输入<div><script>alert(1)</script></div>,渲染后控制台居然弹窗了,这说明过滤逻辑存在漏洞,该怎么调整配置才能彻底阻断脚本执行?
- 2
回答
23浏览
React中使用dangerouslySetInnerHTML时如何有效防止XSS攻击?
我在做一个可以渲染富文本内容的功能,直接用dangerouslySetInnerHTML渲染用户提交的HTML字符串时,发现能被注入恶意脚本。虽然用了htmlspecialchars转义,但页面样式完...
- 1
回答
90浏览
前端应急响应时如何快速定位XSS漏洞的攻击入口?
最近在处理一个紧急安全事件,发现有人利用表单提交功能注入了XSS脚本。我们用了OWASP ZAP扫描,但始终找不到具体漏洞点。前端代码里有个动态渲染的评论区,像这样: <div id="comm...
- 2
回答
18浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
- 1
回答
17浏览
前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请...
- 1
回答
30浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
- 2
回答
42浏览
安全需求文档该怎么写才能防XSS漏洞?
我们在做用户评论功能时,测试发现XSS漏洞,但安全需求文档里只写了“过滤危险字符”,具体该怎么做才能有效防范呢? 之前尝试用正则表达式过滤了<script>标签和特殊字符,但测试人员用Un...
- 2
回答
34浏览
设置了X-XSS-Protection后CSS样式被过滤导致页面错乱怎么办?
我在开发页面时启用了X-XSS-Protection: 1; mode=block头,但发现动态生成的用户提交内容里的CSS样式被过滤了。比如用户输入的标签带内联样式时,浏览器直接移除了style属性...
- 1
回答
3浏览
React组件直接渲染用户输入导致XSS漏洞,修复后为何仍被漏洞赏金计划标记?
我在处理用户评论展示功能时,直接用dangerouslySetInnerHTML渲染了后端返回的内容,后来在漏洞赏金测试中被指出存在XSS漏洞。 虽然我已经改用DOMPurify清理内容,但测试时还是...
- 1
回答
12浏览
设置了X-XSS-Protection头还是被Chrome提示XSS防护已禁用?
最近在配置安全头的时候发现了个怪事,明明在Express里设置了X-XSS-Protection: 1; mode=block,但Chrome控制台还是弹出“XSS 防护已禁用”的警告,这是怎么回事啊...
- 2
回答
7浏览
Vue中使用v-html时如何避免XSS漏洞?
在Vue项目里用v-html渲染用户输入的内容时,发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号,但复杂HTML结构就乱了,怎么安全地处理用户输入避免XSS? <te...
sanitize-html的配置上,虽然你定义了白名单标签和属性,但没有处理嵌套的恶意标签。攻击者可以通过将脚本嵌套在合法标签中来绕过过滤规则。比如你提到的<div><script>alert(1)</script></div>,<script>标签被保留了下来。要彻底阻断 XSS 攻击,需要调整配置并加入额外的防护措施。首先,明确一点:
sanitize-html默认不会移除<script>标签,除非你在allowedTags中显式禁止它。其次,仅仅依赖白名单是不够的,还需要结合上下文进行更严格的校验。以下是改进后的代码示例:
这里的关键点在于:
- 设置
disallowedTagsMode为'remove',确保所有不在白名单中的标签被完全移除。- 确保
allowVulnerableTags设置为false,以防止意外允许危险标签。此外,光靠前端或存储前的过滤是不够的,建议在渲染时也做一层防护。比如在输出到页面时,使用安全的编码方式。如果你用的是模板引擎,可以启用自动转义功能;如果是手动拼接 HTML,可以用类似
DOMPurify的库进一步净化内容。最后提醒一下,XSS 防护是个系统工程,除了输入过滤,还要注意 HTTP 响应头的安全配置,比如设置
Content-Security-Policy来限制脚本执行来源。这样即使有漏网之鱼,也能通过 CSP 阻止恶意脚本运行。总之,配置好
sanitize-html是第一步,后续还要结合多层防御机制才能真正降低风险。安全这东西,永远别想着一劳永逸,得时刻保持警惕。