JavaScript协议链接也会触发XSS吗?
我在做富文本展示功能,用户输入的内容里可能包含超链接。我过滤了标签,但发现如果链接是javascript:alert(1)这种形式,点击后还是会执行代码,这算XSS漏洞吗?
我试过用正则匹配href属性,但总觉得不够稳妥。有没有更可靠的方案?比如只允许http或https开头的链接?
下面是我目前处理链接的代码:
function sanitizeHref(href) {
if (!href) return '#';
// 简单过滤 javascript: 协议
if (href.trim().toLowerCase().startsWith('javascript:')) {
return '#';
}
return href;
}- 2
回答
59浏览
JavaScript协议链接会被XSS攻击吗?怎么防?
我在项目里有个地方要动态生成超链接,用户可以输入URL,但我发现如果输入 javascript:alert(1) 这种,点击就会执行脚本,这算XSS漏洞吧? 我试过用正则过滤 javascript:,...
- 2
回答
39浏览
Vue里用javascript:协议跳转会触发XSS警告怎么办?
我在做一个动态链接渲染的功能,用户可以输入URL,但有些老数据里带的是 javascript:alert(1) 这种。我直接绑定到 <a :href="userUrl"> 上,结果控制台报...
- 2
回答
53浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
- 1
回答
100浏览
WebView暴露JavaScript接口后如何防范XSS攻击?
我在开发Android混合应用时,通过WebView的addJavascriptInterface暴露了一个本地方法,但测试时发现可以通过XSS注入执行任意JS。尝试过设置webView.getSet...
- 2
回答
66浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
- 2
回答
98浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
- 1
回答
40浏览
白盒测试时怎么判断前端代码是否存在XSS风险?
最近在做项目安全自查,听说白盒测试要查XSS漏洞,但我看自己写的React组件里都是用{userInput}这种插值,应该没问题吧?可又不确定有没有漏掉什么场景。 比如有个地方用了dangerousl...
- 1
回答
30浏览
DAST扫描报React应用有XSS漏洞,但我用了JSX不是自动转义了吗?
我们最近用OWASP ZAP做DAST安全扫描,结果报了一个反射型XSS漏洞。可我明明在React里直接用JSX渲染用户输入,按理说React会自动转义啊,怎么还会被扫出来? 比如下面这段代码,只是把...
- 1
回答
62浏览
AppScan 扫出 Vue 项目 XSS 漏洞怎么修复?
最近用 AppScan 扫我们 Vue 项目,报了个反射型 XSS 高危漏洞,说是在路由参数没过滤。但我明明用的是 Vue Router,参数都是通过 this.$route.query 拿的,页面上...
- 2
回答
33浏览
前端如何用安全沙箱防止XSS攻击?
最近在做一个富文本编辑器的功能,用户可以输入HTML内容,但我担心XSS问题。听说可以用沙箱隔离,比如把内容放到iframe里?我试过动态创建iframe然后写入内容,但样式全乱了,而且有些脚本还是能...
更可靠的方法是只允许http或https开头的链接。这样可以大大降低风险,因为其他协议基本不需要在用户生成的内容中使用。
你可以修改你的函数如下:
这样处理效率更高,也能更可靠地防止XSS攻击。别忘了对其他可能的注入点也进行类似的处理哦。
java script:、javanscript:或者data:text/html等各种姿势绕过。白名单才是正解,只允许已知安全的协议:
检查一下你的场景,如果是富文本整体清洗,直接上 DOMPurify 这种成熟库,别自己造轮子,XSS 的坑比你想象的多。