当前位置：文江博客话题详情

防止 Node.js/服务器端 javascript 中的 XSS

发布于 2024-09-19 07:15:42 字数 124 浏览 8 评论 0原文

知道如何防止对 Node.js 应用程序的 XSS 攻击吗？任何处理删除 href、onclick 属性等中的 javascript 的库。来自发布的数据？

我不想为此编写正则表达式:)

有什么建议吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

随波逐流 2024-09-26 07:15:43

如果还有人在看这个。
似乎 xss 包很受欢迎并得到维护

从文档中：

var xss = require("xss");
var html = xss('<script>alert("xss");</script>');
console.log(html);

If someone is still watching this.
It seems like the xss package to be popular and maintained

From the docs:

var xss = require("xss");
var html = xss('<script>alert("xss");</script>');
console.log(html);

回复收藏 0 原文

薆情海 2024-09-26 07:15:43

你应该尝试库 npm“insane”。
https://github.com/bevacqua/insane

我在生产中尝试过，效果很好。大小非常小（压缩后大约 3kb）。

清理 html
删除所有评估 js 的属性或标签
您可以允许不需要清理的属性或标签

该文档非常容易阅读和理解。
https://github.com/bevacqua/insane

回复收藏 0 原文

掐死时间 2024-09-26 07:15:42

我创建了一个捆绑 Caja HTML Sanitizer

npm install sanitizer

http://github.com/theSmaw/Caja 的模块-HTML-Sanitizer

https://www.npmjs.com/package/sanitizer

任何反馈表示赞赏。

I've created a module that bundles the Caja HTML Sanitizer

npm install sanitizer

http://github.com/theSmaw/Caja-HTML-Sanitizer

https://www.npmjs.com/package/sanitizer

Any feedback appreciated.

回复收藏 0 原文

她如夕阳 2024-09-26 07:15:42

在客户端清理/重写 HTML 的答案之一建议从 Google Caja 借用了 JS 中基于白名单的 HTML 清理程序，据我通过快速滚动可以看出，它实现了 HTML SAX 解析器，而不依赖于浏览器的 DOM。

更新： 另外，请记住，Caja 消毒程序显然已经接受了全面、专业的安全审查，而正则表达式则因很容易以危及安全的方式出现拼写错误而闻名。

更新2017-09-24：现在还有DOMPurify。我还没有使用过它，但看起来它满足或超过了我所寻找的每一点：

尽可能依赖运行时环境提供的功能。（通过尽可能依赖经过充分测试的成熟实现，对于性能和最大限度地提高安全性都很重要。）
- 依赖于浏览器的 DOM 或 Node.JS 的 jsdom。
默认配置旨在尽可能少地剥离，同时仍保证删除 JavaScript。
- 支持 HTML、MathML 和 SVG
- 在 IE8 和 IE9 下回退到 Microsoft 专有的、不可配置的 toStaticHTML。
高度可配置，使其适合对可以包含任意 HTML 的输入实施限制，例如所见即所得或 Markdown 注释字段。（事实上，这是这里的顶部）
- 支持常用的标签/属性白名单/黑名单和 URL 正则表达式白名单
- 具有特殊选项，可进一步清理某些常见类型的 HTML 模板元字符。
他们非常重视兼容性和可靠性
- 在 16 种不同的浏览器以及 Node.JS 的三个不同主要版本上运行的自动化测试。
- 为了确保开发者和 CI 主机都在同一页面上，我们发布了锁定文件。

回复收藏 0 原文

逆夏时光 2024-09-26 07:15:42

所有常用技术也适用于 node.js 输出，这意味着：

黑名单不起作用。
您不应该为了保护 HTML 输出而过滤输入。它不会起作用，或者会通过不必要地扭曲数据而起作用。
您应该对 HTML 输出中的文本进行 HTML 转义。

我不确定 Node.js 是否为此提供了一些内置功能，但类似的东西应该可以完成这项工作：

function htmlEscape(text) {
   return text.replace(/&/g, '&').
     replace(/</g, '<').  // it's not neccessary to escape >
     replace(/"/g, '"').
     replace(/'/g, ''');
}

All usual techniques apply to node.js output as well, which means:

Blacklists will not work.
You're not supposed to filter input in order to protect HTML output. It will not work or will work by needlessly malforming the data.
You're supposed to HTML-escape text in HTML output.

I'm not sure if node.js comes with some built-in for this, but something like that should do the job:

function htmlEscape(text) {
   return text.replace(/&/g, '&').
     replace(/</g, '<').  // it's not neccessary to escape >
     replace(/"/g, '"').
     replace(/'/g, ''');
}

回复收藏 0 原文

走野 2024-09-26 07:15:42

我最近发现 node-validator 由 node-validator “ rel="nofollow">克里索。

示例

get('/', function (req, res) {

  //Sanitize user input
  req.sanitize('textarea').xss(); // No longer supported
  req.sanitize('foo').toBoolean();

});

XSS 函数弃用

XSS 函数在此库中不再可用。

https://github.com/chriso/validator.js#deprecations

I recently discovered node-validator by chriso.

Example

get('/', function (req, res) {

  //Sanitize user input
  req.sanitize('textarea').xss(); // No longer supported
  req.sanitize('foo').toBoolean();

});

XSS Function Deprecation

The XSS function is no longer available in this library.

https://github.com/chriso/validator.js#deprecations

回复收藏 0 原文

写给空气的情书 2024-09-26 07:15:42

您还可以查看 ESAPI。该库有一个javascript 版本。它非常坚固。

回复收藏 0 原文

朮生 2024-09-26 07:15:42

在较新版本的 validator 模块中，您可以使用以下脚本来防止 XSS 攻击：

  var validator = require('validator');

  var escaped_string = validator.escape(someString);

In newer versions of validator module you can use the following script to prevent XSS attack:

  var validator = require('validator');

  var escaped_string = validator.escape(someString);

回复收藏 0 原文

冷情 2024-09-26 07:15:42

尝试一下 npm 模块 strip-js。它执行以下操作：

清理 HTML
删除脚本标签
删除包含 JavaScript 代码的属性，例如“onclick”、“onerror”等
删除包含 JavaScript 代码的“href”属性

https://www.npmjs.com/package/strip-js

回复收藏 0 原文

蓝眸 2024-09-26 07:15:42

更新2021-04-16：xss是一个用于过滤用户输入以防止XSS攻击的模块。

使用白名单指定的配置清理不受信任的 HTML（以防止 XSS）。

访问 https://www.npmjs.com/package/xss
项目主页：http://jsxss.com

回复收藏 0 原文

~没有更多了~

关于作者

暗藏城府

暂无简介

0 文章

0 评论

23 人气

关注发私信

13886483628

文章 0 评论 0

关注

流年已逝

文章 0 评论 0

关注

℡寂寞咖啡

文章 0 评论 0

关注

笑看君怀她人

文章 0 评论 0

关注

wkeithbarry

文章 0 评论 0

关注

素手挽清风

文章 0 评论 0

友情链接

文江博客

防止 Node.js/服务器端 javascript 中的 XSS

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（10）

示例

XSS 函数弃用

Example

XSS Function Deprecation

关于作者

相关话题

热门标签

推荐作者

13886483628

流年已逝

℡寂寞咖啡

笑看君怀她人

wkeithbarry

素手挽清风

友情链接

防止 Node.js/服务器端 javascript 中的 XSS

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（10）

示例

XSS 函数弃用

Example

XSS Function Deprecation

关于作者

相关话题

热门标签

推荐作者

13886483628

流年已逝

℡寂寞咖啡

笑看君怀她人

wkeithbarry

素手挽清风

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。