XSS攻击前端需注意
XSS攻击,在WEB安全领域已经是老生常谈的问题,每每提到安全问题,也会首当其冲拿出来说事。
针对XSS攻击的解决方案,也非常成熟,主要就是:对用户输入信息的地方进行转义处理,当然我这里要提起的一个点,并非这个方案的问题,而是在开发时,(我)经常忽略的一个点。说之前先提一下之前的一次经历:
我的岗位是前端开发,当时在开发网站的时候,页面中有一个分页效果,对应页码数据通过web的URL的参数传递过来,为了方便(偷懒),直接在URL中提取了该页码的数据,比如页面URL为:www.x.com/xxx?page=1 ,在js中直接直接获取url的页码page=1,而此处的分页组件正是由js生成的,xxx,在生成html后直接append到html文档中,此时又没有对page参数做任何转义处理,因此,此处就会造成一个XSS攻击的漏洞:
假使,此处的改页码的page参数经过篡改为:www.x.com/xxx?page= <script>alert('x');</scrpt >,page参数对应的数据完全注入的页面html文档中,其中的 alert('x') 脚本就会被网页执行。
当时,这个XSS安全问题是被测试同学,使用安全扫描工具给扫描出来的,我当时的反应是后端没有对用户的输入的内容做好转义,后来经过排查和后端完全没有关系,这个事情问题发生的很随意,我感觉很容易忽略,作为前端我本人经常通过js直接获取URL中的所需的数据,经历过此事之后,在使用URL中数据的时候,就多长了一个心眼,记得对其转移,或者直接使用后端返回的安全数据。
提到这个经历,主要做个总结、警告,安全无小事,不论前端、后端都会造成安全隐患,在开发过程中不能形成定性思维,出现问题直接定性为后端问题,前后端开发者都要认真审视自己的代码,防患于未然。
最新文章
- MySQL Nested-Loop Join算法学习
- win7下 安装 Flask
- Logger的等级输出
- java 网络编程(三)---TCP的基础级示例
- [精品推荐]Android Studio插件整理
- NHibernate 中使用 nvarchar(max) 类型
- DELPHI7在WIN8和WIN10下安装和运行
- online ddl 使用、测试及关键函数栈
- 解决iphone横屏时字体变大问题或者内容大小不一样等
- 01 - 概述 VTK 6.0 迁移
- Java基础知识二次学习--第八章 流
- Vue脚手架(vue-cli)安装总结
- 多线程之Java线程阻塞与唤醒
- 利用百度地图api实现定位
- APPLE-SA-2019-3-27-1 watchOS 5.2
- Linux内存管理 (1)物理内存初始化
- net core体系-web应用程序-4asp.net core2.0 项目实战(1)-6项目缓冲方案
- IDEA调试SpringMvc项目时,出错:java.lang.ClassNotFoundException: org.springframework.web.context.ContextLoaderListener,解决办法
- Vue解决同一页面跳转页面不更新
- octave基本指令1
热门文章
- [USACO09JAN]全流Total Flow
- E - 不容易系列之(4)――考新郎 错排数公式
- [kuangbin带你飞]专题六 最小生成树 N - 畅通工程再续
- 夜话JAVA设计模式之代理模式(Proxy)
- BZOJ(3) 1051: [HAOI2006]受欢迎的牛
- BZOJ(2) 1041: [HAOI2008]圆上的整点
- Memcached高可用方案收集(集群及分布式)
- new出来的对象无法调用@Autowired注入的Spring Bean
- Spring MVC中@RequestMapping注解使用技巧(转)
- 性能测试实战-XYB项目-外网访问