Javascript 有关XSS(跨站点脚本)攻击的问题
在该页面的电子邮件中,我们有以下内容Javascript 有关XSS(跨站点脚本)攻击的问题,javascript,Javascript,在该页面的电子邮件中,我们有以下内容 please <a href="emaildisclaimer-Test.html?name=test&email=test@test.com" target="_blank">click here</a> regarding this event. 请关注此事件。 当用户单击“单击此处”时,页面将重定向到 html页面。将在其中检索URL参数并 显示。这里我面临的是XSS攻击的问题。谁能 我对这个问题有想法。我们如何
please <a href="emaildisclaimer-Test.html?name=test&email=test@test.com" target="_blank">click here</a> regarding this event.
请关注此事件。
当用户单击“单击此处”时,页面将重定向到
html页面。将在其中检索URL参数并
显示。这里我面临的是XSS攻击的问题。谁能
我对这个问题有想法。我们如何从JavaScript中防止这种情况发生?由于您没有处理任何用户提交的内容,我不认为您会有遭受XSS攻击的风险。从您的评论中: 一旦它被重定向,它将被解析并以HTML显示。URL传递参数被编辑并附加脚本标记(
)。我们如何防止在外部附加参数
只要用户提供的内容只显示给同一用户,就不存在XSS问题。他们可以自己动手,但没有其他人
如果您接受最终用户的内容以显示给其他用户,那么您当然需要对XSS心存疑虑
我从用户那里看到了内容的两种可能用途:
- 不允许他们使用任何HTML
- 允许他们提供(一些)HTML
如果您希望最终用户提供不允许为HTML的信息,只需确保所有
都不存在xss攻击的危险,因为如果有人更改href属性,它只会在浏览器中更改,其他用户对此不会有任何线索。我们如何保护数据不受href属性的影响??。一旦它被重定向,它将被解析并以HTML显示。URL传递参数被编辑并附加脚本标记()。如何防止在外部追加参数?谢谢回复,我已经在java脚本中通过Base64对字符串进行了编码。我们仍然面临XSS攻击的问题。@Manjunatha:我想你可能错过了我的编辑(在我看到你对这个问题的评论之后)。上面提到的是你所说的吗?是的,我对这个问题有一些疑问,但现在已经澄清了。非常感谢@曼朱纳塔:不用担心,很乐意帮忙。
// From user
str = "<img src='javascript:malicious();'>";
// Disable
str = str.replace(/&/g, "&").replace(/</g, "<");
emaildisclaimer-Test.html?name=test&email=test@test.com
emaildisclaimer-Test.html?r=NzZiNjFlZDAtZmRlMi0xMWUzLWEzYWMtMDgwMDIwMGM5YTY2