前端xss攻击——规避innerHtml过滤标签节点及属性
创始人
2024-12-28 06:37:09
0

文章目录

    • ⭐前言
    • ⭐规避innerHtml
      • 💖在iframe中使用innerHtml的场景
      • 💖标签转义
      • 💖url 进行encode
      • 💖手动过滤内容+转义
    • ⭐inscode代码块演示
    • ⭐结束

yma16-logo

⭐前言

大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。

xss攻击
XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。

XSS攻击一般可以分为三种类型:

  1. 存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
  2. 反射型XSS:攻击者构造一个含有恶意代码的URL链接,当用户点击这个链接时,恶意代码会被注入到响应页面的参数中并执行。
  3. DOM型XSS:攻击者通过修改和篡改页面的DOM结构来实现攻击,一般通过修改URL参数或表单数据来触发。

为了防止XSS攻击,开发者可以采取以下几种措施:

  • 输入验证和过滤:对用户输入的数据进行验证和过滤,只允许合法的输入。
  • 转义输出:在向用户输出数据时,对特殊字符进行转义处理,防止恶意代码被执行。
  • 设置HttpOnly标志:在设置Cookie时,添加HttpOnly标志,使得Cookie只能通过HTTP协议传输,防止被恶意脚本窃取。
  • 使用内容安全策略(Content Security Policy,CSP):CSP可以帮助开发者限制网页中可以执行的脚本来源,从而有效防止XSS攻击。

总之,XSS攻击是一种常见而危险的漏洞,开发者和用户都需要注意防范和注意保护个人信息的安全。

⭐规避innerHtml

inner的危险
使用innerHtml属性可以直接操作和修改HTML内容,但是也存在一定的危险性。以下是一些内涵Html属性的潜在风险:

  1. 跨站脚本攻击(XSS):如果输入的内容没有经过适当的验证和过滤,恶意用户可以插入恶意脚本代码,从而实现跨站脚本攻击。这些恶意脚本可以用来窃取用户的个人信息、篡改网页内容或发送恶意行为。

  2. 不安全的内容插入:使用innerHtml属性可以直接插入内容,但如果不进行适当的验证和过滤,可能会导致插入不安全的内容,例如从不受信任的来源获取的脚本、链接或其他恶意代码。

  3. CSS注入:通过innerHtml属性,恶意用户可以插入恶意的CSS代码,从而导致网页的样式受到破坏,或者被重定向到其他网页。

  4. 内容失去结构:使用innerHtml属性可以直接修改HTML结构,但如果不小心操作,可能导致内容失去原有的结构和语义,影响网页的可访问性和可维护性。

为了减少这些风险,开发者应该始终对输入的内容进行适当的验证、过滤和转义,以防止XSS攻击和其他安全问题。建议使用安全的API或框架来处理HTML内容,例如使用textContent属性来修改文本内容,或使用DOM操作方法来修改元素的属性和子元素。

💖在iframe中使用innerHtml的场景

iframe直接渲染html字符串

 // innerHtml渲染iframe  const innerHtmlIframe = () => {      const doc = document.getElementById('iframe-id').contentWindow.document;      const iframeHtmlDom = doc.getElementsByTagName('html')[0];      iframeHtmlDom.innerHTML = getHtml()  }

某个document直接使用innerHtml

documnet.getElementById('test').innerHTML = '恶意脚本'

恶意代码运行的效果:点击链接运行js弹出一个弹框
xss-html
恶意的输入内容
style标签

svg标签

标签

   #弹出cookie

video标签

script标签

   #弹出hack    #弹出hack         #弹出1,对于数字可以不用引号       #弹出cookie   #引用外部的xss

利用JS将用户信息发送给后台

                             
hello,word!

💖标签转义

通过将特殊字符转义为实体编码

HTML常用的转义字符" & < >  

参考转义文档:https://tool.oschina.net/commons?type=2

字符十进制转义字符
"" "
&&&
<<<
>>>
不断开空格(non-breaking space)  

普通的转义处理

// HTML转义 let userInput = ''; let escapedHtml = document.createElement('div'); escapedHtml.textContent = userInput; console.log(escapedHtml.innerHTML); // 输出:<script>alert("XSS Attack");</script>

HTML转义,使用textContent属性创建一个新的DOM元素,并将用户输入设置为文本内容,通过访问innerHTML属性获取HTML转义后的输出

💖url 进行encode

urlEncode处理跳转的属性href和src

// URL编码 let url = 'https://www.example.com/?param=' + encodeURIComponent(''); console.log(url); // 输出:https://www.example.com/?param=%3Cscript%3Ealert(%22XSS%20Attack%22);%3C/script%3E

💖手动过滤内容+转义

使用枚举把恶意标签和脚本通过内容处理屏蔽,再使用普通的转义

32个可以触发xss的属性

[     "onmouseenter",     "onmouseleave",     "onmousewheel",     "onscroll",     "onfocusin",     "onfocusout",     "onstart",     "onbeforecopy",     "onbeforecut",     "onbeforeeditfocus",     "onbeforepaste",     "oncontextmenu",     "oncopy",     "oncut",     "ondrag",     "ondragend",     "ondragenter",     "ondragleave",     "ondragover",     "ondragstart",     "ondrop",     "onlosecapture",     "onpaste",     "onselectstart",     "onhelp",     "onEnd",     "onBegin",     "onactivate",     "onfilterchange",     "onbeforeactivate",     "onbeforedeactivate",     "ondeactivate" ]

手动处理dom节点之后再返回dom

const xssTagArr = [     "onmouseenter",     "onmouseleave",     "onmousewheel",     "onscroll",     "onfocusin",     "onfocusout",     "onstart",     "onbeforecopy",     "onbeforecut",     "onbeforeeditfocus",     "onbeforepaste",     "oncontextmenu",     "oncopy",     "oncut",     "ondrag",     "ondragend",     "ondragenter",     "ondragleave",     "ondragover",     "ondragstart",     "ondrop",     "onlosecapture",     "onpaste",     "onselectstart",     "onhelp",     "onEnd",     "onBegin",     "onactivate",     "onfilterchange",     "onbeforeactivate",     "onbeforedeactivate",     "ondeactivate" ]  // 获取html doc const getHtmlDocByString = (htmlString) => {     const parser = new DOMParser();     const doc = parser.parseFromString(htmlString, 'text/html');     return doc }  // 过滤 head  function filterHeadDomAction(node) {     const name = node.nodeName     console.log('name', name)     if (name.toLocaleLowerCase() === 'script') {         // 过滤script 标签         console.log('script', name)         // 删除         node.remove()     }      // 对于链接使用 urlEncode     // 对于链接使用 urlEncode     ['href', 'src'].forEach(attr => {         const arrtVal = node.getAttribute(attr)         if (arrtVal) {             node.setAttribute(attr, encodeURIComponent(arrtVal))         }     })      // 移除异常属性     xssTagArr.forEach(attr => {         if (node && node.getAttribute(attr)) {             node.removeAttribute(attr)         }      })      // 遍历当前节点的子节点     for (let i = 0; i < node.childNodes.length; i++) {         const child = node.childNodes[i];         // 递归遍历子节点         if (child.nodeType === 1) {             filterHeadDomAction(child)         }     }     return node }  //   过滤 body dom function filterBodyDomAction(node) {     const name = node.nodeName     console.log('name', name)     if (name.toLocaleLowerCase() === 'script') {         // 过滤script 标签         console.log('script', name)         // 删除 script         node.remove()     }     // 对于链接使用 urlEncode     ['href', 'src'].forEach(attr => {         const arrtVal = node.getAttribute(attr)         if (arrtVal) {             node.setAttribute(attr, encodeURIComponent(arrtVal))         }     })      // 移除异常属性     xssTagArr.forEach(attr => {         if (node && node.getAttribute(attr)) {             node.removeAttribute(attr)         }      })     // 遍历当前节点的子节点     for (let i = 0; i < node.childNodes.length; i++) {         const child = node.childNodes[i];         // 递归遍历子节点         if (child.nodeType === 1) {             filterBodyDomAction(child)         }     }     return node }    // 过滤html const filterHtmlDoc = () => {     const htmlVal = getHtml()      const htmlDom = getHtmlDocByString(htmlVal)      const filterBodyDom = filterBodyDomAction(htmlDom.body)     const filterHeadDom = filterHeadDomAction(htmlDom.head)     // dom节点替换  html ->head\body     const doc = document.getElementById('iframe-id').contentWindow.document;      const iframeHtmlDom = doc.getElementsByTagName('html')[0];     // 替换dom     iframeHtmlDom.replaceChild(filterHeadDom, iframeHtmlDom.getElementsByTagName('head')[0]);     iframeHtmlDom.replaceChild(filterBodyDom, iframeHtmlDom.getElementsByTagName('body')[0]);  }

⭐inscode代码块演示

img
inscode代码如下

运行测试截图如下
xss-test

⭐结束

本文分享到这结束,如有错误或者不足之处欢迎指出!
earth

👍 点赞,是我创作的动力!
⭐️ 收藏,是我努力的方向!
✏️ 评论,是我进步的财富!
💖 最后,感谢你的阅读!

上一篇:SpringBoot系列之Web如何支持下划线驼峰互转的传参与返回

下一篇:网络安全:Web 安全 面试题.(CSRF)

相关内容

热门资讯

一分钟内幕!科乐吉林麻将系统发... 一分钟内幕!科乐吉林麻将系统发牌规律,福建大玩家确实真的是有挂,技巧教程(有挂ai代打);所有人都在...
一分钟揭秘!微扑克辅助软件(透... 一分钟揭秘!微扑克辅助软件(透视辅助)确实是有挂(2024已更新)(哔哩哔哩);1、用户打开应用后不...
五分钟发现!广东雀神麻雀怎么赢... 五分钟发现!广东雀神麻雀怎么赢,朋朋棋牌都是是真的有挂,高科技教程(有挂方法)1、广东雀神麻雀怎么赢...
每日必看!人皇大厅吗(透明挂)... 每日必看!人皇大厅吗(透明挂)好像存在有挂(2026已更新)(哔哩哔哩);人皇大厅吗辅助器中分为三种...
重大科普!新华棋牌有挂吗(透视... 重大科普!新华棋牌有挂吗(透视)一直是有挂(2021已更新)(哔哩哔哩)1、完成新华棋牌有挂吗的残局...
二分钟内幕!微信小程序途游辅助... 二分钟内幕!微信小程序途游辅助器,掌中乐游戏中心其实存在有挂,微扑克教程(有挂规律)二分钟内幕!微信...
科技揭秘!jj斗地主系统控牌吗... 科技揭秘!jj斗地主系统控牌吗(透视)本来真的是有挂(2025已更新)(哔哩哔哩)1、科技揭秘!jj...
1分钟普及!哈灵麻将攻略小,微... 1分钟普及!哈灵麻将攻略小,微信小程序十三张好像存在有挂,规律教程(有挂技巧)哈灵麻将攻略小是一种具...
9分钟教程!科乐麻将有挂吗,传... 9分钟教程!科乐麻将有挂吗,传送屋高防版辅助(总是存在有挂)1、完成传送屋高防版辅助透视辅助安装,帮...
每日必看教程!兴动游戏辅助器下... 每日必看教程!兴动游戏辅助器下载(辅助)真是真的有挂(2025已更新)(哔哩哔哩)1、打开软件启动之...