前端xss攻击——规避innerHtml过滤标签节点及属性
创始人
2024-12-28 06:37:09
0

文章目录

    • ⭐前言
    • ⭐规避innerHtml
      • 💖在iframe中使用innerHtml的场景
      • 💖标签转义
      • 💖url 进行encode
      • 💖手动过滤内容+转义
    • ⭐inscode代码块演示
    • ⭐结束

yma16-logo

⭐前言

大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。

xss攻击
XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。

XSS攻击一般可以分为三种类型:

  1. 存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
  2. 反射型XSS:攻击者构造一个含有恶意代码的URL链接,当用户点击这个链接时,恶意代码会被注入到响应页面的参数中并执行。
  3. DOM型XSS:攻击者通过修改和篡改页面的DOM结构来实现攻击,一般通过修改URL参数或表单数据来触发。

为了防止XSS攻击,开发者可以采取以下几种措施:

  • 输入验证和过滤:对用户输入的数据进行验证和过滤,只允许合法的输入。
  • 转义输出:在向用户输出数据时,对特殊字符进行转义处理,防止恶意代码被执行。
  • 设置HttpOnly标志:在设置Cookie时,添加HttpOnly标志,使得Cookie只能通过HTTP协议传输,防止被恶意脚本窃取。
  • 使用内容安全策略(Content Security Policy,CSP):CSP可以帮助开发者限制网页中可以执行的脚本来源,从而有效防止XSS攻击。

总之,XSS攻击是一种常见而危险的漏洞,开发者和用户都需要注意防范和注意保护个人信息的安全。

⭐规避innerHtml

inner的危险
使用innerHtml属性可以直接操作和修改HTML内容,但是也存在一定的危险性。以下是一些内涵Html属性的潜在风险:

  1. 跨站脚本攻击(XSS):如果输入的内容没有经过适当的验证和过滤,恶意用户可以插入恶意脚本代码,从而实现跨站脚本攻击。这些恶意脚本可以用来窃取用户的个人信息、篡改网页内容或发送恶意行为。

  2. 不安全的内容插入:使用innerHtml属性可以直接插入内容,但如果不进行适当的验证和过滤,可能会导致插入不安全的内容,例如从不受信任的来源获取的脚本、链接或其他恶意代码。

  3. CSS注入:通过innerHtml属性,恶意用户可以插入恶意的CSS代码,从而导致网页的样式受到破坏,或者被重定向到其他网页。

  4. 内容失去结构:使用innerHtml属性可以直接修改HTML结构,但如果不小心操作,可能导致内容失去原有的结构和语义,影响网页的可访问性和可维护性。

为了减少这些风险,开发者应该始终对输入的内容进行适当的验证、过滤和转义,以防止XSS攻击和其他安全问题。建议使用安全的API或框架来处理HTML内容,例如使用textContent属性来修改文本内容,或使用DOM操作方法来修改元素的属性和子元素。

💖在iframe中使用innerHtml的场景

iframe直接渲染html字符串

 // innerHtml渲染iframe  const innerHtmlIframe = () => {      const doc = document.getElementById('iframe-id').contentWindow.document;      const iframeHtmlDom = doc.getElementsByTagName('html')[0];      iframeHtmlDom.innerHTML = getHtml()  }

某个document直接使用innerHtml

documnet.getElementById('test').innerHTML = '恶意脚本'

恶意代码运行的效果:点击链接运行js弹出一个弹框
xss-html
恶意的输入内容
style标签

svg标签

标签

   #弹出cookie

video标签

script标签

   #弹出hack    #弹出hack         #弹出1,对于数字可以不用引号       #弹出cookie   #引用外部的xss

利用JS将用户信息发送给后台

                             
hello,word!

💖标签转义

通过将特殊字符转义为实体编码

HTML常用的转义字符" & < >  

参考转义文档:https://tool.oschina.net/commons?type=2

字符十进制转义字符
"" "
&&&
<<<
>>>
不断开空格(non-breaking space)  

普通的转义处理

// HTML转义 let userInput = ''; let escapedHtml = document.createElement('div'); escapedHtml.textContent = userInput; console.log(escapedHtml.innerHTML); // 输出:<script>alert("XSS Attack");</script>

HTML转义,使用textContent属性创建一个新的DOM元素,并将用户输入设置为文本内容,通过访问innerHTML属性获取HTML转义后的输出

💖url 进行encode

urlEncode处理跳转的属性href和src

// URL编码 let url = 'https://www.example.com/?param=' + encodeURIComponent(''); console.log(url); // 输出:https://www.example.com/?param=%3Cscript%3Ealert(%22XSS%20Attack%22);%3C/script%3E

💖手动过滤内容+转义

使用枚举把恶意标签和脚本通过内容处理屏蔽,再使用普通的转义

32个可以触发xss的属性

[     "onmouseenter",     "onmouseleave",     "onmousewheel",     "onscroll",     "onfocusin",     "onfocusout",     "onstart",     "onbeforecopy",     "onbeforecut",     "onbeforeeditfocus",     "onbeforepaste",     "oncontextmenu",     "oncopy",     "oncut",     "ondrag",     "ondragend",     "ondragenter",     "ondragleave",     "ondragover",     "ondragstart",     "ondrop",     "onlosecapture",     "onpaste",     "onselectstart",     "onhelp",     "onEnd",     "onBegin",     "onactivate",     "onfilterchange",     "onbeforeactivate",     "onbeforedeactivate",     "ondeactivate" ]

手动处理dom节点之后再返回dom

const xssTagArr = [     "onmouseenter",     "onmouseleave",     "onmousewheel",     "onscroll",     "onfocusin",     "onfocusout",     "onstart",     "onbeforecopy",     "onbeforecut",     "onbeforeeditfocus",     "onbeforepaste",     "oncontextmenu",     "oncopy",     "oncut",     "ondrag",     "ondragend",     "ondragenter",     "ondragleave",     "ondragover",     "ondragstart",     "ondrop",     "onlosecapture",     "onpaste",     "onselectstart",     "onhelp",     "onEnd",     "onBegin",     "onactivate",     "onfilterchange",     "onbeforeactivate",     "onbeforedeactivate",     "ondeactivate" ]  // 获取html doc const getHtmlDocByString = (htmlString) => {     const parser = new DOMParser();     const doc = parser.parseFromString(htmlString, 'text/html');     return doc }  // 过滤 head  function filterHeadDomAction(node) {     const name = node.nodeName     console.log('name', name)     if (name.toLocaleLowerCase() === 'script') {         // 过滤script 标签         console.log('script', name)         // 删除         node.remove()     }      // 对于链接使用 urlEncode     // 对于链接使用 urlEncode     ['href', 'src'].forEach(attr => {         const arrtVal = node.getAttribute(attr)         if (arrtVal) {             node.setAttribute(attr, encodeURIComponent(arrtVal))         }     })      // 移除异常属性     xssTagArr.forEach(attr => {         if (node && node.getAttribute(attr)) {             node.removeAttribute(attr)         }      })      // 遍历当前节点的子节点     for (let i = 0; i < node.childNodes.length; i++) {         const child = node.childNodes[i];         // 递归遍历子节点         if (child.nodeType === 1) {             filterHeadDomAction(child)         }     }     return node }  //   过滤 body dom function filterBodyDomAction(node) {     const name = node.nodeName     console.log('name', name)     if (name.toLocaleLowerCase() === 'script') {         // 过滤script 标签         console.log('script', name)         // 删除 script         node.remove()     }     // 对于链接使用 urlEncode     ['href', 'src'].forEach(attr => {         const arrtVal = node.getAttribute(attr)         if (arrtVal) {             node.setAttribute(attr, encodeURIComponent(arrtVal))         }     })      // 移除异常属性     xssTagArr.forEach(attr => {         if (node && node.getAttribute(attr)) {             node.removeAttribute(attr)         }      })     // 遍历当前节点的子节点     for (let i = 0; i < node.childNodes.length; i++) {         const child = node.childNodes[i];         // 递归遍历子节点         if (child.nodeType === 1) {             filterBodyDomAction(child)         }     }     return node }    // 过滤html const filterHtmlDoc = () => {     const htmlVal = getHtml()      const htmlDom = getHtmlDocByString(htmlVal)      const filterBodyDom = filterBodyDomAction(htmlDom.body)     const filterHeadDom = filterHeadDomAction(htmlDom.head)     // dom节点替换  html ->head\body     const doc = document.getElementById('iframe-id').contentWindow.document;      const iframeHtmlDom = doc.getElementsByTagName('html')[0];     // 替换dom     iframeHtmlDom.replaceChild(filterHeadDom, iframeHtmlDom.getElementsByTagName('head')[0]);     iframeHtmlDom.replaceChild(filterBodyDom, iframeHtmlDom.getElementsByTagName('body')[0]);  }

⭐inscode代码块演示

img
inscode代码如下

运行测试截图如下
xss-test

⭐结束

本文分享到这结束,如有错误或者不足之处欢迎指出!
earth

👍 点赞,是我创作的动力!
⭐️ 收藏,是我努力的方向!
✏️ 评论,是我进步的财富!
💖 最后,感谢你的阅读!

上一篇:SpringBoot系列之Web如何支持下划线驼峰互转的传参与返回

下一篇:网络安全:Web 安全 面试题.(CSRF)

相关内容

热门资讯

透视辅助!云扑克德州辅助器(辅... 透视辅助!云扑克德州辅助器(辅助透视)原来真的有挂(2024新版总结)-哔哩哔哩云扑克德州辅助器辅助...
透视辅助!微扑克插件(透视辅助... 透视辅助!微扑克插件(透视辅助)原来真的有挂(力荐教程)-哔哩哔哩;科技详细教程小薇《1367043...
德扑ai透明挂(云扑克有没有辅... 德扑ai透明挂(云扑克有没有辅助挂)微扑克ai辅助器苹果版(原来真的有挂)-哔哩哔哩1、微扑克ai辅...
透明辅助!哈糖大菠萝平台正规吗... 透明辅助!哈糖大菠萝平台正规吗(辅助挂)其实真的有挂(必备教程)-哔哩哔哩哈糖大菠萝平台正规吗辅助器...
微扑克辅助(云扑克挂)智星德州... 微扑克辅助(云扑克挂)智星德州有挂吗(其实真的有挂)-哔哩哔哩1、智星德州有挂吗系统规律教程、智星德...
透视辅助!微扑克全自动机器人(... 透视辅助!微扑克全自动机器人(透视)原来真的有挂(可靠教程)-哔哩哔哩1、起透看视 微扑克全自动机器...
透明辅助!微扑克的辅助工具苹果... 透明辅助!微扑克的辅助工具苹果(透明挂)其实真的有挂(新2024版)-哔哩哔哩是一款可以让一直输的玩...
德扑之星辅助(aapoker透... 德扑之星辅助(aapoker透视辅助)pokerworld有挂吗(原来真的有挂)-哔哩哔哩是一款可以...
透明辅助!云扑克内置辅助器(辅... 1、透明辅助!云扑克内置辅助器(辅助挂)原来真的有挂(曝光教程)-哔哩哔哩。2、云扑克内置辅助器透视...
AApoker辅助(poker... AApoker辅助(pokerworld软件)aapoker插件(原来真的有挂)-哔哩哔哩poker...