关于Web前端安全之XSS攻击防御增强方法

原创 于 2025-08-03 16:57:03 发布 · 705 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #安全 #xss

仅依赖前端验证是无法完全防止 XSS的,还需要增强后端验证,使用DOMPurify净化 HTML 时,还需要平衡安全性与业务需求。

一、仅依赖前端验证无法完全防止 XSS 的原因及后端验证的重要性

1. 前端验证的局限性

前端验证(如 JavaScript 输入检查)可以提升用户体验,但无法作为安全防护的核心,原因如下:

前端代码可被篡改:

攻击者可通过浏览器开发者工具禁用或修改前端验证逻辑,直接向服务器发送恶意数据。

绕过前端提交:

攻击者可通过 curl、Postman 等工具直接构造 HTTP 请求,完全绕过前端页面的验证逻辑。

场景覆盖不全:

前端验证可能仅针对可见输入(如表单),而忽略其他数据来源(如 URL 参数、Cookie、第三方接口返回数据)。

2. 后端验证的核心价值

后端验证是防御 XSS 的最后一道防线,其重要性体现在:

不可绕过性:

所有用户输入(无论来源)最终都需经过服务器处理,后端验证可确保恶意数据在进入存储或渲染流程前被拦截。

一致性:

后端验证可统一处理多端(Web、App、第三方接口)的输入,避免因前端实现差异导致的防护漏洞。

全生命周期防护:

后端验证不仅覆盖输入阶段,还能在数据存储、跨系统传输、渲染输出等全流程中生效,确保数据始终处于安全状态。

二、三种常见的 HTML 转义方法及适用场景

1.HTML 实体转义(核心转义)

  • 转义规则:将 < 转为 &lt;,> 转为 &gt;,& 转为 &amp;," 转为 &quot;,' 转为 &#39;。
  • 适用场景:所有动态数据插入 HTML 标签内容或属性时(如 <div>{{ 转义后的数据 }}</div> 或 <input value="{{ 转义后的数据 }}">)。
  • 示例:用户输入 <script>alert(1)</script> 转义后变为 &lt;script&gt;alert(1)&lt;/script&gt;,仅作为文本显示。

2.encodeURIComponent

  • 作用:对 URL 中的参数进行编码,将特殊字符(如 ?、&、=、空格等)转换为 %XX 形式的 URL 编码。
  • 适用场景:动态生成 URL 参数时(如拼接查询字符串、跳转链接)。
  • 示例:用户输入 a&b=c 经 encodeURIComponent 处理后变为 a%26b%3Dc,避免破坏 URL 结构或注入恶意参数。

3.textContent(DOM API 安全输出)

  • 作用:通过 JavaScript 的 textContent 属性设置元素内容,自动将所有内容视为纯文本,不解析 HTML。
  • 适用场景:前端动态插入文本内容时(替代 innerHTML)。
  • 示例:element.textContent = userInput 会将 <script> 直接显示为文本,而非执行脚本。

三、使用 DOMPurify 时平衡安全性与业务需求的策略

DOMPurify 是一款强大的 HTML 净化库,可过滤恶意标签和属性,但业务中常需允许特定标签(如富文本中的 <b>、<img>)。平衡两者的核心是最小权限原则:仅开放必要功能,同时严格限制风险点。

1. 基础配置:默认严格模式

DOMPurify 默认已过滤绝大多数危险内容(如 <script>、onclick、javascript: 协议),直接使用即可覆盖大部分场景:

import DOMPurify from 'dompurify';

const safeHtml = DOMPurify.sanitize(userInput); // 默认配置:过滤危险内容

2. 允许特定标签和属性(按需开放)

若业务需要支持富文本(如允许 <b>、<i>、<a>、<img>),可通过配置精细控制:

// 允许 <b>、<i>、<a>、<img>,并限制 <a> 和 <img> 的属性
const safeHtml = DOMPurify.sanitize(userInput, {
  ADD_TAGS: ['b', 'i', 'a', 'img'], // 额外允许的标签(默认已允许部分安全标签)
  ADD_ATTR: ['href', 'src', 'alt'], // 额外允许的属性
  ALLOW_UNKNOWN_PROTOCOLS: false,   // 禁止非标准协议(如 javascript:)
  ALLOW_SELF_CLOSE_IN_ATTR: false,  // 禁止属性中的自闭合语法(避免绕过)
  // 限制 <a> 标签的 href 仅允许 http/https 协议
  CHECK_PROTOCOL: true,
  // 自定义过滤逻辑:例如限制 <img> 的 src 仅来自可信域名
  beforeSanitizeElements: (node) => {
    if (node.tagName === 'IMG' && node.src) {
      const allowedDomains = ['trusted-cdn.com', 'example.com'];
      const srcDomain = new URL(node.src).hostname;
      if (!allowedDomains.includes(srcDomain)) {
        node.src = ''; // 清空不可信图片地址
      }
    }
  }
});

3. 禁止高风险功能

无论业务需求如何,必须禁用以下高风险特性:

  • 事件属性(onclick、onerror、onload 等):可能触发恶意脚本。
  • javascript:、data: 等危险协议:避免通过 <a href="javascript:xxx"> 执行脚本。
  • iframe、video 等嵌入标签:除非明确信任来源,否则禁止使用。

4. 定期更新与测试

  • 保持 DOMPurify 版本最新,及时修复已知漏洞。
  • 对业务允许的标签和属性进行安全测试(如尝试注入 onerror 事件),验证过滤效果。

总结

  • 前端验证仅为辅助,后端验证是 XSS 防御的核心,因其不可绕过且覆盖全流程。
  • HTML 实体转义、encodeURIComponent、textContent 分别适用于 HTML 内容、URL 参数、前端文本插入场景。
  • 使用 DOMPurify 时,需通过最小权限配置允许必要标签,同时禁用高风险特性,并结合业务测试确保安全与功能的平衡。
web安全XSS攻击原理及防范
weixin_43964148的博客
06-22 2856
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nHwrCkXL-1592795850369)(https://static01.imgkr.com/temp/e31bf9555c2e44eeb535ca5ad63dda63.png)] 一:什么是XSS攻击XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面
Web渗透测试与XSS攻击详解
weixin_65409651的博客
07-22 608
Web渗透测试(Web Penetration Testing)是一种模拟黑客攻击方法,用于评估Web应用程序的安全性。通过渗透测试,安全专家可以发现系统中的漏洞和弱点,并提供修复建议,以防止真正的黑客利用这些漏洞进行攻击
Web前端安全策略之XSS攻击防御
2401_86951385的博客
09-12 566
危害极大的一种攻击类型,跨站代码存储在服务器(数据库)中。我们通过例子来了解一下该攻击类型是如何实现的。拿贴吧的帖子回复为例子, 我们将回复内容填到这个输入框中,然后点击提交点击提交以后, 客户端会将表单数据(本例中就是输入框内的文字)发送给服务器,并将表单数据存储在自己的数据库中, 然后再此刷新这个帖子的时候,我们就能看到有一条我们刚评论的回复了我先来讲解一下,我们刚回复的这条评论是怎么展示在页面上的。那么再回到发表回复的那个步骤,如果用户点击提交的时候,表单数据被改为这个样子怎么办?如图。
前端安全XSS攻击防御策略
ZL_1618的博客
07-06 1169
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
前端安全——XSS攻击防御原理详解
qq_44197554的博客
12-13 5847
前端开发人员必备安全防范知识——XSS攻击防御,希望大家可以认识到xss攻击的危害
前端安全:如何防止XSS攻击
破损的天堂鸟博客
01-29 3653
XSS攻击是一种常见但危险的漏洞,通过输入验证、输出编码、HTTP头部策略、内容安全策略以及现代框架的使用,可以有效降低XSS攻击的风险。同时,持续的安全检测和团队的安全意识提升也是保障前端安全的重要环节。
Web 安全漏洞之 XSS 攻击
白帽子凯哥聊黑客
05-13 896
XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击
Web前端安全策略之XSS攻击防御(1),2024年最新零基础网络安全
2401_83947353的博客
04-14 736
这是最普遍的一种XSS攻击方式, 攻击的流程大致是:用户访问服务器——跨站的链接——返回跨站的代码这个定义看起来非常的抽象,我们用一个例子来讲解一下。例如html中有一个代码如下的 a 标签。
如何防止XSS攻击,保证前端安全性?
热门推荐
官方推荐
05-26 1万+
如何防止XSS攻击,保证前端安全性?
前端安全XSS,CSRF,网络劫持
ewii12567的博客
02-26 859
原理:获取用户的Cookie2. 攻击场景评论区或者搜索框(可以输入的地方)URL上拼接js代码3. 类型1、Server论坛发帖、商品评价、用户私信等等这些用户保存数据的地方攻击者将恶意代码提交到目标网站的数据库中,用户开打该网站评论、内容的时候就会被攻击,用户浏览器收到html代码后,混入其中的恶意代码就会被执行比如获取用户的cookie信息,然后发送给攻击者的服务器。在实际开发中,开发人员要增强安全意识,为用户的信息安全保驾护航。这其实就涉及XSS防御,要对2、Server。
Web安全——XSS攻击以及防御
mapbar_front的博客
06-13 1461
XSS(跨站脚本攻击XSS——Cross site scripting 这是最常见的一种web安全问题。引起这种问题的原因是什么呢?主要是由于不合理的数据引起的。 &amp;amp;amp;lt;div&amp;amp;amp;gt; { content } &amp;amp;amp;lt;/div&amp;amp;amp;gt; 一般这样的页面结构,我们的页面解析出来的期望是这样的。 &amp;amp;amp;lt;div&amp;
Web安全XSS-Labs靶场实战:从新手到高手的跨站脚本攻击防御深度解析
04-17
此资源不仅提供了 XSS 攻击的理论知识,还结合了大量的实战案例和技巧,建议读者在学习过程中结合靶场实践,不断尝试不同的攻击载荷和技术手段,同时关注防御方法,确保理论与实践相结合,全面提升 Web 安全技能。
Web安全XSS-Labs靶场通关详解:常见XSS漏洞场景及绕过技巧分析与防御建议
04-17
内容概要:本文档详细介绍了 XSS-Labs靶场的通关思路及解法,涵盖了常见的XSS(跨站脚本攻击)漏洞场景。文档首先介绍了XSS的三种类型(反射型、存储型、DOM型)及常见注入点(URL参数、表单输入、Cookie、HTTP头)...
XSS攻击修改服务器的代码,Web安全系列之XSS攻击
weixin_36202642的博客
08-11 1784
什么是XSS攻击XSS(Cross Site Scripting)中文名称是:跨站脚本攻击XSS重点不在跨站,而在于执行的脚本。XSS的原理是指攻击者利用网站的安全漏洞,向web页面中插入一段恶意的script代码,当用户浏览网页时,执行脚本,攻击者就可以非法获取用户的敏感信息(如cookie、账号密码等),从而达到攻击的目的。XSS的类型从攻击代码的工作方式可以分为三个类型:1、反射型XSS。...
RAGFlow Agent 知识检索节点源码解析:从粗排到精排的完整流程
澄南澄北的博客
08-01 843
文本检索:基于关键词匹配,擅长精确匹配和术语查找向量检索:基于语义相似度,擅长理解查询意图和同义词匹配Embedding 检索方法通过分别编码 Query 和 Chunk 得到向量,并用余弦相似度评估相关性。优点是可以提前计算Chunk的向量并存储,检索效率高、可大规模向量召回,适合在粗排阶段使用。但这种独立编码方式无法建模两者之间的语义交互。而 Rerank 模型会将 Query 和 Chunk 作为一个成对的输入,同时送入模型进行处理。
Vue3 中 toValue 与 unref 深度解析:异同、场景与最佳实践
前端知识分享喵
07-30 977
Vue3中的toValue和unref都是响应式数据解包工具,但存在关键差异:unref仅解包ref对象,而toValue在unref基础上增加了对函数类型的支持,会自动执行函数并返回结果。toValue更适合处理动态计算和多种输入类型的场景,如组合式函数参数标准化;unref则在简单解包和性能敏感场景更具优势。开发者需注意两者对reactive对象和函数参数的不同处理方式,根据实际需求选择合适工具。
Ollama前端:open-webui
最新发布
08-02 167
【代码】Ollama前端:open-webui。
学习 java web 简单监听器
~
07-31 513
使用Java Servlet作为后端核心,配合监听器(Listener)实现应用生命周期管理,前端采用JSP进行动态页面渲染。核心功能包括通过Servlet处理HTTP请求,利用监听器监控ServletContext、Session和Request三种作用域对象的创建销毁及属性变更,实现资源管理和业务逻辑处理。项目中MyListener类实现了多种监听器接口,可捕获对象创建销毁事件及属性变化,为系统提供完善的监控能力。
【Nginx反向代理】通过Nginx反向代理将多个后端server统一到同一个端口上的方法
一名在读大学生,正在学习深度学习,会定期分享一些该领域内容。欢迎大家一起交流学习~
08-01 393
摘要:在多开发者协作项目中,不同后端服务部署在不同端口或服务器上,导致前端调用接口时面临多端口、跨域等复杂问题。使用Nginx反向代理可统一入口,通过配置/api1/、/api2/等路径将请求转发至对应服务(如本地5051端口或远程服务器)。方案优势包括隐藏服务细节、集中处理跨域、简化前端调用逻辑,并提供负载均衡灵活性。文中给出Nginx安装命令、配置示例及常用操作指令(启动/重启/配置检查等),便于快速部署维护。(149字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值