XSS攻击,在WEB安全领域已经是老生常谈的问题,每每提到安全问题,也会首当其冲拿出来说事。

针对XSS攻击的解决方案,也非常成熟,主要就是:对用户输入信息的地方进行转义处理,当然我这里要提起的一个点,并非这个方案的问题,而是在开发时,(我)经常忽略的一个点。说之前先提一下之前的一次经历:

我的岗位是前端开发,当时在开发网站的时候,页面中有一个分页效果,对应页码数据通过web的URL的参数传递过来,为了方便(偷懒),直接在URL中提取了该页码的数据,比如页面URL为:www.x.com/xxx?page=1 ,在js中直接直接获取url的页码page=1,而此处的分页组件正是由js生成的,xxx,在生成html后直接append到html文档中,此时又没有对page参数做任何转义处理,因此,此处就会造成一个XSS攻击的漏洞:

假使,此处的改页码的page参数经过篡改为:www.x.com/xxx?page= <script>alert('x');</scrpt >,page参数对应的数据完全注入的页面html文档中,其中的 alert('x') 脚本就会被网页执行。

当时,这个XSS安全问题是被测试同学,使用安全扫描工具给扫描出来的,我当时的反应是后端没有对用户的输入的内容做好转义,后来经过排查和后端完全没有关系,这个事情问题发生的很随意,我感觉很容易忽略,作为前端我本人经常通过js直接获取URL中的所需的数据,经历过此事之后,在使用URL中数据的时候,就多长了一个心眼,记得对其转移,或者直接使用后端返回的安全数据。

提到这个经历,主要做个总结、警告,安全无小事,不论前端、后端都会造成安全隐患,在开发过程中不能形成定性思维,出现问题直接定性为后端问题,前后端开发者都要认真审视自己的代码,防患于未然。

最新文章

  1. MySQL Nested-Loop Join算法学习
  2. win7下 安装 Flask
  3. Logger的等级输出
  4. java 网络编程(三)---TCP的基础级示例
  5. [精品推荐]Android Studio插件整理
  6. NHibernate 中使用 nvarchar(max) 类型
  7. DELPHI7在WIN8和WIN10下安装和运行
  8. online ddl 使用、测试及关键函数栈
  9. 解决iphone横屏时字体变大问题或者内容大小不一样等
  10. 01 - 概述 VTK 6.0 迁移
  11. Java基础知识二次学习--第八章 流
  12. Vue脚手架(vue-cli)安装总结
  13. 多线程之Java线程阻塞与唤醒
  14. 利用百度地图api实现定位
  15. APPLE-SA-2019-3-27-1 watchOS 5.2
  16. Linux内存管理 (1)物理内存初始化
  17. net core体系-web应用程序-4asp.net core2.0 项目实战(1)-6项目缓冲方案
  18. IDEA调试SpringMvc项目时,出错:java.lang.ClassNotFoundException: org.springframework.web.context.ContextLoaderListener,解决办法
  19. Vue解决同一页面跳转页面不更新
  20. octave基本指令1

热门文章

  1. [USACO09JAN]全流Total Flow
  2. E - 不容易系列之(4)――考新郎 错排数公式
  3. [kuangbin带你飞]专题六 最小生成树 N - 畅通工程再续
  4. 夜话JAVA设计模式之代理模式(Proxy)
  5. BZOJ(3) 1051: [HAOI2006]受欢迎的牛
  6. BZOJ(2) 1041: [HAOI2008]圆上的整点
  7. Memcached高可用方案收集(集群及分布式)
  8. new出来的对象无法调用@Autowired注入的Spring Bean
  9. Spring MVC中@RequestMapping注解使用技巧(转)
  10. 性能测试实战-XYB项目-外网访问