问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

Javascript XSS 预防

社区维基
1
新手上路,请多包涵

有一个 Node.js 项目可以清理数据,还有一个用于 JavaScript 的 OWASP 库可以处理清理以防止 XSS。

我一直在对这些库进行基准测试,它们非常密集,也许有点矫枉过正,我的应用程序不需要任何动态 HTML(由用户提交,bbtags 或其他任何东西,根本不需要)所以为什么不这样做:

  1. 禁用“ < ”和“ > ”字符,不要替换它们或任何东西,只是禁用它们,如果用户提交这些,给他们一个警告,这些被禁用(客户端- 和服务器端验证)
  2. & => &amp;
  3. " => &quot;
  4. ' => &#x27;
  5. / => /
  6. 编码提交的 URL(GET 参数等)
  7. 由于我的应用程序使用 HTML5 PushState 并且后端与前端完全分离,因此涵盖了基于 DOM 的 XSS。

这是否足以保护我自己,正如我所说,我的应用程序不需要用户提交任何 HTML,所以我根本不需要 <> 标签。

感谢所有反馈,这是我现在使用的:

 var pattern = /<(.*)>/;

function hasHtmlTags(string) {
    return pattern.test(string);
};

if (hasHtmlTags(userData)) {
    // Do something?
} else {
    // Create entity.
}

因此用户仍然可以使用他们的表情符号 :< 等,并且只有在找到 < 和 > 的组合时才会触发该功能。所以没有昂贵的正则表达式之类的,只需禁用 < 和 > 组合,我们应该没问题。

原文由 onlineracoon 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javascript安全node.jsxsssanitization
阅读 333
2 个回答
得票最新
社区维基
1
✓ 已被采纳

这是一个通用的编码过程:

 var lt = /</g,
    gt = />/g,
    ap = /'/g,
    ic = /"/g;
value = value.toString().replace(lt, "&lt;").replace(gt, "&gt;").replace(ap, "&#39;").replace(ic, "&#34;");

如果您的用户没有向您的服务器提交任何内容,您甚至不需要上述内容。如果用户提交并且您正在使用用户输入,那么上述内容应该是安全的。只要 ‘<’ 和 ‘>’ 被全局清理并且括号也被清除,你就可以开始了。

原文由 Konstantin Dinev 发布,翻译遵循 CC BY-SA 3.0 许可协议

社区维基
1

考虑 https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html

这是他们建议的实施:

 function escapeOutput(toOutput){
    return toOutput.replace(/\&/g, '&amp;')
        .replace(/\</g, '&lt;')
        .replace(/\>/g, '&gt;')
        .replace(/\"/g, '&quot;')
        .replace(/\'/g, '&#x27;')
        .replace(/\//g, '&#x2F;');
}

还要确保仅在必要时才使用此功能,否则您可能会破坏一些东西。

但我建议你看看已经制作的用于清理输出的库:

https://github.com/ecto/漂白剂

原文由 Hybris95 发布,翻译遵循 CC BY-SA 4.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题