当前位置：首页 > article >正文

Xss漏洞问题

article 2026/3/20 10:17:28

https://bu1.github.io/2021/01/12/%E7%AC%AC%E5%8D%81%E4%BA%8C%E5%91%A8%EF%BC%9AXSS%E6%BC%8F%E6%B4%9E%E5%AD%A6%E4%B9%A0%E5%AE%9E%E6%88%98/

在这里插入图片描述
后端绕开了前端，直接调用接口入库：

<select οnchange=“alert(1)”>12

前端拿到这个文本后，再富文本编辑器中，会将其解析为js脚本，从而实现xss攻击。

原始方案一：
1、前端调用接口的时候，不进行转义

2、后端入库的时候转义

3、后端返回给前端，前端对转义的数据进行反转义，这样就保证了不会有问题。

这个方案理解上存在的问题：

1、前端进行反转义是浏览器的行为，而不是什么拦截器或者代码，组件的行为机制；

2、为什么给后端的数据会自动的进行转义，这个是Angular框架自动的行为，类似的Vue也存在这种机制。

在前端开发中，自动转义的目的是为了 防止 XSS 攻击 和 确保用户输入的内容不会被浏览器误解析为 HTML 或 JavaScript 代码。当用户通过表单、URL 参数或其他方式输入数据时，如果这些输入数据未经处理直接插入到页面中，可能会导致恶意用户通过注入脚本来执行攻击。

前端自动转义的原因

防止 XSS 攻击：
XSS (跨站脚本攻击) 是一种常见的安全漏洞，攻击者可以通过注入恶意的 JavaScript 代码来执行一些不安全的操作，比如窃取用户信息或篡改页面内容。如果浏览器将用户输入的内容（如 <script>alert('XSS')</script>）直接渲染为 HTML 代码，那么攻击者的脚本就会被执行。

为了防止这种情况，很多现代框架和工具会对用户输入进行自动转义，确保它被当作纯文本呈现，而不是被执行。
确保数据的安全性：
转义字符（如 <, >, &, "）会将特殊字符转换成 HTML 实体，使它们无法作为 HTML 或 JavaScript 执行。这就能确保无论数据如何传递，浏览器都只会将其当作普通文本处理。

Angular 中的自动转义

Angular 是一个现代的前端框架，具有 自动防止 XSS 攻击 的机制。Angular 在将模板中的用户输入渲染到 DOM 时，会自动对数据进行转义，从而防止恶意脚本注入。具体来说，Angular 使用了一个叫做 安全上下文（Security Context） 的概念。

1. Angular 默认的自动转义

Angular 会对绑定到模板中的用户输入进行自动转义。无论是通过 {{ expression }} 或 [innerHTML] 插值，Angular 都会确保将用户提供的数据视为纯文本，而不会执行其中的 HTML 或 JavaScript 代码。

例子：

<div>{{ userInput }}</div>

如果 userInput 是来自用户的输入，Angular 会自动转义其中的 HTML 实体，如 < 被转义为 <，> 被转义为 >，从而避免用户输入的内容被浏览器解释为 HTML 标签或 JavaScript 代码。

2. 插值绑定和属性绑定

插值绑定：如 {{ userInput }}，Angular 会自动将数据转义为文本。
属性绑定：如 [innerHTML]="userInput"，如果直接将用户输入的内容绑定到 innerHTML，Angular 默认 不转义，而是将其作为 HTML 渲染。这时，你需要小心处理用户输入，避免 XSS 攻击。

3. ng-bind 和 ng-bind-html

ng-bind：Angular 自动转义绑定的文本内容，类似于插值绑定 {{}}，并防止执行其中的 HTML 和 JavaScript。
ng-bind-html：Angular 在将内容绑定到 innerHTML 时不会进行转义，需要手动处理 用户输入来防止 XSS。为了防止不安全的 HTML 被渲染，你可以使用 Angular 提供的 DomSanitizer 服务来清理内容。

DomSanitizer 防止 XSS

在 Angular 中，如果你必须通过 innerHTML 渲染用户输入的内容，推荐使用 DomSanitizer 来清理不安全的 HTML，确保内容不会被执行。DomSanitizer 允许你标记安全的 HTML 内容。

示例：

import { DomSanitizer, SafeHtml } from '@angular/platform-browser';@Component({selector: 'app-component',template: `<div [innerHTML]="safeHtmlContent"></div>`
})
export class MyComponent {safeHtmlContent: SafeHtml;constructor(private sanitizer: DomSanitizer) {}ngOnInit() {const userInput = '<script>alert("XSS")</script>';this.safeHtmlContent = this.sanitizer.bypassSecurityTrustHtml(userInput);}
}

在这个例子中，bypassSecurityTrustHtml 将用户输入的 HTML 标记为 信任的 HTML，Angular 不会对其进行自动转义。但通常，如果可能，应该避免直接使用 innerHTML，并考虑使用其他方式来安全地显示内容。

总结

Angular 自动转义：对于大多数插值绑定，Angular 会自动对用户输入进行转义，确保它们不会被浏览器解释为 HTML 或 JavaScript。
手动控制转义：如果使用 innerHTML 或类似方法直接渲染用户输入，需要小心 XSS 问题，可以使用 Angular 提供的 DomSanitizer 进行处理。
为什么自动转义：转义的目的是为了防止 XSS 攻击，确保用户输入不会执行恶意代码。

最终方案：
前端不变，后端在入库的时候，再进行一次转义。
前端进行转义后，后端再继续转义，不会有问题！因为转义只是对<等符号进行处理，两次转义后应该结果是相同的。
前端拿到转义的文字，在渲染的时候进行渲染，也不会有问题。

xss攻击基本知识：
未经转义的文本会被浏览器解析并执行其中的 JavaScript（例如）。
已转义的文本（例如 <script>alert(‘XSS’)</script>）会被浏览器当作普通文本显示，而不会执行其中的 JavaScript 代码。
双重转义不会造成安全问题，因为浏览器会把转义后的字符当做普通文本处理，不会执行其中的 JavaScript。
前端和后端的双重转义可以确保更高的安全性，但它是冗余的，并且会增加字符的长度和复杂度。
前端渲染转义后的内容时，浏览器会正确显示转义字符，不会有问题。

Xss漏洞问题

前端自动转义的原因

Angular 中的自动转义

1. Angular 默认的自动转义

2. 插值绑定和属性绑定

3. ng-bind 和 ng-bind-html

DomSanitizer 防止 XSS

总结

相关文章：

Xss漏洞问题

Python MongoDB速成教程

Docker概念与架构

基于opencv消除图片马赛克

3.使用ElementUI搭建侧边栏及顶部栏

golang将大接口传递给小接口以及场景

C# OPC DA获取DCS数据（提前配置DCOM）

不同开发语言之for循环的用法、区别总结

MuBlE:为机器人操作任务规划提供了逼真的视觉观察和精确的物理建模

工具介绍《HACKBAR V2》

ASP.NET Core 6 MVC 文件上传

2025年03月07日Github流行趋势

JAVA入门——网络编程简介

Cursor + IDEA 双开极速交互

3.3.2 用仿真图实现点灯效果

点云软件VeloView开发环境搭建与编译

Java入门：环境搭建与第一个HelloWorld程序

PDF处理控件Aspose.PDF，如何实现企业级PDF处理

大白话如何利用 CSS 实现一个三角形？原理是什么？

js操作字符串的常用方法

PostgreSQL 如何有效地处理数据的加密和解密

《2025年软件测试工程师面试》消息队列面试题

大数据学习（55）-BI工具数据分析的使用

原生android 打包.aar到uniapp使用

解锁MacOS开发：环境配置与应用开发全攻略

Aruco 库详解：计算机视觉中的高效标记检测工具

第005文-模拟入侵网站实现0元购

unity3d 背景是桌面3d数字人，前面是web的表单

23种设计模式简介

淘宝关键字搜索接口爬虫测试实战指南