Javascript JS应用程序中基于DOM的XSS保护
我对基于dom的XSS攻击感到非常困惑。我只想保护在我的JS应用程序中输出到dom(使用innerHTML)的任何服务器检索到的数据。转义HTML实体或转义安全属性的引号等。然后我阅读了关于基于dom的XSS的文章,我真的不知道它和转义HTMl有什么不同。 在此表中,您可以看到一个基于dom的XSS示例:Javascript JS应用程序中基于DOM的XSS保护,javascript,html,dom,xss,Javascript,Html,Dom,Xss,我对基于dom的XSS攻击感到非常困惑。我只想保护在我的JS应用程序中输出到dom(使用innerHTML)的任何服务器检索到的数据。转义HTML实体或转义安全属性的引号等。然后我阅读了关于基于dom的XSS的文章,我真的不知道它和转义HTMl有什么不同。 在此表中,您可以看到一个基于dom的XSS示例: <script>document.write("UNTRUSTED INPUT: " + document.location.hash);<script/> doc
<script>document.write("UNTRUSTED INPUT: " + document.location.hash);<script/>
document.write(“不可信输入:”+document.location.hash);
<script>document.write("UNTRUSTED INPUT: " + escapeHTML(document.location.hash));<script/>
document.write(“不可信输入:”+escapeHTML(document.location.hash));
更新:我只想知道使用innerHTML方法动态插入DOM时是否只需要转义HTML。当然,我知道URL和样式需要特别注意,正如我链接的第一篇文章中所述。攻击可能来自服务器或DOM。存储的XSS攻击和反射的XSS攻击都来自服务器,当有人将其错误代码输入到您的数据库或服务器上后执行时就会发生。简而言之,防止坏代码进入服务器的方法是保护数据传输方法(输入、按钮、表单、URL、查询字符串)。 攻击范围更广。DOM内置的唯一安全性是同源策略。它说,如果代码是从同一个域触发的,那么“它必须是安全的”。问题是HTML限制非常宽松,一个页面上接受的上下文太多,可能相互交叉并影响。您可以在脚本标记中编写JavaScript,并在随后触发的输入字段中调整它们的速度。JavaScript可以访问页面URL上下文,该上下文可用于重定向单击事件。那只是几个 如果你真的想保护你的站点服务器端和DOM,如果可能的话,我会调查一下。这是额外的工作,但如果你真的想把事情锁起来,那是值得的
最后,您询问的