JavaScript协议链接也会触发XSS吗?
我在做富文本展示功能,用户输入的内容里可能包含超链接。我过滤了标签,但发现如果链接是javascript:alert(1)这种形式,点击后还是会执行代码,这算XSS漏洞吗?
我试过用正则匹配href属性,但总觉得不够稳妥。有没有更可靠的方案?比如只允许http或https开头的链接?
下面是我目前处理链接的代码:
function sanitizeHref(href) {
if (!href) return '#';
// 简单过滤 javascript: 协议
if (href.trim().toLowerCase().startsWith('javascript:')) {
return '#';
}
return href;
}- 1
回答
6浏览
JavaScript协议链接会被XSS攻击吗?怎么防?
我在项目里有个地方要动态生成超链接,用户可以输入URL,但我发现如果输入 javascript:alert(1) 这种,点击就会执行脚本,这算XSS漏洞吧? 我试过用正则过滤 javascript:,...
- 1
回答
3浏览
Vue里用javascript:协议跳转会触发XSS警告怎么办?
我在做一个动态链接渲染的功能,用户可以输入URL,但有些老数据里带的是 javascript:alert(1) 这种。我直接绑定到 <a :href="userUrl"> 上,结果控制台报...
- 1
回答
30浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
- 1
回答
72浏览
WebView暴露JavaScript接口后如何防范XSS攻击?
我在开发Android混合应用时,通过WebView的addJavascriptInterface暴露了一个本地方法,但测试时发现可以通过XSS注入执行任意JS。尝试过设置webView.getSet...
- 2
回答
28浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
- 2
回答
54浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
- 1
回答
7浏览
前端漏洞扫描工具报XSS风险,但我用了DOMPurify啊?
最近用公司内部的漏洞扫描工具扫了下项目,结果提示有个输入框存在XSS风险。可我明明已经用 DOMPurify 对用户输入做了清洗,不知道问题出在哪。 我的代码大概是这样: <div id="us...
- 1
回答
8浏览
前端项目中如何用SAST工具检测XSS漏洞?
最近在做安全开发生命周期的实践,想在CI里集成SAST工具自动扫描XSS问题。但试了几个工具(比如SonarQube、ESLint插件)都没能准确识别出我这段模板里的危险用法,是我写法太隐蔽还是配置不...
- 1
回答
16浏览
Lighthouse建议移除未使用的JavaScript,但我不知道哪些能删?
我用 Lighthouse 跑分,Performance 得分很低,提示“移除未使用的 JavaScript”,但我项目里引用了好几个第三方库,比如 lodash 和 moment.js,只用了其中一...
- 2
回答
12浏览
Lighthouse 报告里“未使用 JavaScript”是怎么回事?
我在用 Lighthouse 做性能审计时,发现报告里提示“未使用的 JavaScript”,但这些脚本明明是我页面必需的啊。比如下面这段代码: import { initMap } from �...
java script:、javanscript:或者data:text/html等各种姿势绕过。白名单才是正解,只允许已知安全的协议:
检查一下你的场景,如果是富文本整体清洗,直接上 DOMPurify 这种成熟库,别自己造轮子,XSS 的坑比你想象的多。