XSS漏洞 href和js输出,以及常见防范措施

最新推荐文章于 2025-07-20 08:54:16 发布
原创 最新推荐文章于 2025-07-20 08:54:16 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #网络安全

本文探讨了XSS漏洞中的href和JS输出问题,强调了输入过滤和输出转义的重要性。通过皮卡丘靶场的实验,展示了如何构造payload以触发XSS。对于href,单纯使用htmlspecialchars()不足,需要限制协议类型。而在JS输出场景下,应注意闭合输入以避免恶意脚本执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS漏洞,href和js输出,以及常见防范措施(本文仅供技术学习与分享)

原则:
输入做过滤,输出做转义

  • 过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字;
  • 所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义;

实验准备:

  1. 皮卡丘靶场:xss只href输出
  2. 皮卡丘靶场:xss只js输出

实验步骤:

  1. xss之href输出:
    构造payload:javascript:alert(111)并查看源码(href属性可以用JavaScript执行js)
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    对href标签做防护,仅靠htmlspecialchars()是不够的,还需要做过滤,在输入的时候只允许HTTP和HTTPS开头的协议。

  2. xss之js输出:
    输入1111,并且查看源码,发现它将我们的输入传到js中,并且做判断,是否为tmac,再输出
    在这里插入图片描述

  3. 构造payload:xxxx' </script><script>alert(2222)</script>,闭合输入框$ms=‘1111’
    在这里插入图片描述在这里插入图片描述

实验32:xss防范措施hrefjs输出点的案例演示
qq_44720671的博客
04-29 472
xss防范措施hrefjs输出点 一、防范措施 总结:输出做过滤,输出做转义。 二、href输出 我们以pikachu为例,打开xsshref输出 先输入:javascript:alert(666) 然后查看一下源码 再回来点一下 即可得到: 三、js输出 我们以pikachu为例,打开xssjs输出 先随意输入一些字符,打开源代码 我们就可以知道,当输入“tmac”时会有东西弹...
pikachu平台xss漏洞详解
m0_74786138的博客
11-26 3160
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
XSShref输出js输出防范措施
qq_43814486的博客
05-05 9900
防御总的原则:根据实际情况对输入做过滤,对输出做转义 href输出漏洞输出出现在a标签的href属性里面,可以使用javascript协议来执行js 后端: $message=htmlspecialchars($_GET['message'],ENT_QUOTES); $html.="<a href='{$message}'> 可以看到,虽然对htmlspecialchars()...
XSS的学习笔记
最新发布
firshman_start的博客
07-20 617
跨站脚本攻击XSS(Cross Site Scripting),为了不层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!xss的分类反射性xss反射型XSS是非持久性、参数型的跨站脚本。反射型XSSJS代码在Web应用的参数(变量)中,如搜索框的反射型XSS。在搜索框中,提交。
渗透测试-xss安全防御之href输出js输出
lza20001103的博客
04-24 3329
xss安全防御之href输出js输出
Pikachu-xss防范措施 - href输出 & js输出
guanrongl的专栏
10-03 863
要想防止href 标签的xss : 一、可以做输入限定,只允许http 、https 的头的输入;二、结合输入限定后再做特殊字符转义。转义:所有输出到前端的数据,都根据输出点进行转义,比如输出到html中进行html实体转义,输入到 JS 里面的进行 JS 转义。过滤:根据业务需要进行过滤,如:输入点要求输入手机号,则只允许输入手机号格式的数字;从页面代码上看出,这是个href 标签,并且做了href特殊字符转换。核心点是:$ms == 'tmac'总体原则: 输入做过滤,输出做转义。
3-12xss防范措施hrefjs输出点的案例演示
山兔的博客
04-29 1404
XSS常见防范措施 总的原则:输入做过滤,输出做转义  过滤:根据业务需求进行过滤,比如输入点要求输入手机号,在后端写一个逻辑,只允许输入手机号格式的数字。  转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义。 案例演示 我们选择xsshref输出,这个地方,我们直接看源码 如果你输入的内容,不是百度,它会把你输入的内容,用htmlspecialchars()进行处理,同时它这里也用了ENT_QUOTES这么个类型,这意味着’"&
网络安全Xss漏洞
边缘拼命划水的小陈
04-12 2633
定义:XSS 攻击全称跨站脚本攻击,是为不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户访问,当用户访问到有恶意代码的网页就会产生 xss 攻击。
XSS漏洞:pikachu靶场中的XSS通关
qq_68163788的博客
05-25 2349
在pikachu靶场中的XSS通关是一种漏洞攻击技术,通过在输入框中注入恶意脚本代码来实现攻击。攻击者可以利用XSS漏洞窃取用户的cookie信息、重定向用户到恶意网站或者篡改网页内容等。在pikachu靶场中,攻击者可以通过输入恶意代码实现跨站脚本攻击,从而获取敏感信息或者控制网页行为。要防范XSS漏洞,网站开发者应该对用户输入进行严格过滤验证,避免恶意代码的注入。
JavaScript中跨站脚本攻击(XSS)的防范与调试
shejizuopin的博客
05-07 1034
防御分层策略输入层:严格过滤(白名单>黑名单)输出层:自动转义(模板引擎>手动编码)运行时:CSP策略+Cookie安全标志应急响应流程fill:#333;color:#333;color:#333;fill:none;是否发现XSS漏洞是否已上线?立即回滚代码+清除缓存修复代码并增加单元测试审计日志+通知用户提交代码审查发布安全公告持续安全建设定期进行渗透测试(如每月1次)订阅安全公告(如Node.js Security WG)建立安全编码规范(如禁止eval()
XSS漏洞XSS平台搭建与打cookie
goldfish8848的博客
06-21 2800
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
Web应用安全:href属性与src属性的XSS.pptx
06-19
href属性与src属性的XSS 4 src属性的XSS 3 src属性 2 href属性的XSS 1 href属性 目录 herf属性 href是Hypertext Reference的缩写。 意思是指定超链接目标的URL。 href 属性的值可以是任何有效文档的相对或绝对URL,包括片段标识符JavaScript代码段。 1.herf简介 herf属性 <a> 标签的 href 属性用于指定超链接目标的 URL。 href 属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符 JavaScript 代码段。 如果用户选择了 <a> 标签中的内容,那么浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式、方法函数的列表。 2.herf定义 herf属性 定于语法:<a href="URL"> 3.定于语法与属性值 href属性的XSS 由于浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式, 所以如果我们把XSS恶意代码输出成JavaScript表达式,然后注
xss漏洞原理应用及常用payload总结
ldzhhh的博客
05-26 7713
xss简介 XSS攻击全称跨站脚本攻击(Cross Site Scripting),但为不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一般只要有用户输入的地方,就可能会出现XSS漏洞。 可能造成的危害 网站弹框(刷流量) 网站挂马 会话劫持 控制目标数据 Cookie被盗取 用户提权 账号被盗 强制发送电子邮件 尽量DDOS 蠕虫攻
DOM型的xss漏洞利用
热门推荐
qq_43814486的博客
04-22 1万+
DOM:通过JavaScript,可以重构整个HTML文档,就是说可以添加,移除等等,对页面的某个东西进行操作时,JavaScript就需要获得对HTML文档中所有元素进行访问的入口。这个入口就是DOM,所以在DOM型的xss漏洞利用中,DOM可以看成是一个访问HTML的标准程序接口。 特征:整个过程都是在前端完成的,没有后端的参与(纯前端的操作!) 原理: 上图var str = docume...
XSS 的攻击防御
dzqxwzoe的博客
01-14 281
Cross Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。通过这些恶意的脚本,攻击者可获取用户的敏感信息如:Cookie、Session等。Cross Site Scripting 的英文首字母缩写应为 CSS,但是因为其我们的样式语法 CSS(Cascading Style Sheets)一样,所以将 CSS 改成 XSS
11.xsshref输出
愿听风成曲
06-26 675
xsshref输出绕过:javascript:alert(1111) 直接代入a标签herf里面一样可以绕过htmlspecialchars。后台配置文件中的代码。
Pikachu xsshref输出
SS_liang的博客
01-09 1290
href属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符 JavaScript 代码段。如果用户选择了 <a> 标签中的内容,那么浏览器会尝试检索并显示href属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式、方法函数的列表。如果href属性不存在,则 <a> 标签将不是超链接。思路就有了,我们可以尝试在herf标签里面写入JavaScript的代码,也就是利用JavaScript协议。
2.xss
weixin_41826065的博客
12-07 2230
XSS
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3545
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
XSS漏洞检测脚本:提升系统安全性
为了防范检查XSS攻击,安全研究人员开发人员通常需要了解使用各种XSS检查语句,这些语句可以帮助识别修复潜在的XSS漏洞XSS可以分为三种类型:反射型XSS、存储型XSS基于DOM的XSS。 1. 反射型XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值