例子:

考慮一個可能容易受到 JavaScript 注入的簡單登入表單。以下是保護它的方法:

HTML:

JavaScript:

document.getElementById(\\'login-form\\').addEventListener(\\'submit\\', function(event) {    const username = document.getElementById(\\'username\\').value;    const password = document.getElementById(\\'password\\').value;    if (!validateInput(username) || !validateInput(password)) {        alert(\\'Invalid input\\');        event.preventDefault();    }});function validateInput(input) {    const regex = /^[a-zA-Z0-9_]*$/;    return regex.test(input);}

伺服器端(Node.js 範例):

const express = require(\\'express\\');const app = express();const bodyParser = require(\\'body-parser\\');const mysql = require(\\'mysql\\');const db = mysql.createConnection({    host: \\'localhost\\',    user: \\'root\\',    password: \\'\\',    database: \\'test\\'});app.use(bodyParser.urlencoded({ extended: true }));app.post(\\'/login\\', (req, res) => {    const username = req.body.username;    const password = req.body.password;    const query = \\'SELECT * FROM users WHERE username = ? AND password = ?\\';    db.execute(query, [username, password], (err, results) => {        if (err) throw err;        if (results.length > 0) {            res.send(\\'Login successful\\');        } else {            res.send(\\'Invalid credentials\\');        }    });});app.listen(3000, () => {    console.log(\\'Server is running on port 3000\\');});

結論:

偵測並防止 JavaScript 注入攻擊對於維護 Web 應用程式的安全至關重要。透過實施本部落格中討論的技術,您可以顯著降低此類攻擊的風險。請記得驗證和清理所有使用者輸入、使用 CSP、僅限 HTTP 的 cookie,並使用 SRI 限制 JavaScript 功能。

請繼續關注更多有關高級 JavaScript 主題和網路安全的部落格。請隨時在下面的評論中分享您的想法和經驗。我們可以一起建立更安全的 Web 應用程式!

","image":"http://www.luping.net/uploads/20240801/172248888466ab183485a83.jpg","datePublished":"2024-08-01T13:08:03+08:00","dateModified":"2024-08-01T13:08:03+08:00","author":{"@type":"Person","name":"luping.net","url":"https://www.luping.net/articlelist/0_1.html"}}
」工欲善其事,必先利其器。「—孔子《論語.錄靈公》
首頁 > 程式設計 > 偵測並防止 JavaScript 注入攻擊的高階技術

偵測並防止 JavaScript 注入攻擊的高階技術

發佈於2024-08-01
瀏覽:193

Advanced Techniques for Detecting and Preventing JavaScript Injection Attacks

介紹:

JavaScript 注入攻擊是對 Web 應用程式的重大安全威脅。這些攻擊可能導致資料外洩、未經授權的操作和各種其他安全問題。我將指導您使用先進的技術來偵測和防止 JavaScript 注入攻擊。本部落格將包含實際範例程式碼,以幫助您有效地理解和實施這些技術。

什麼是 JavaScript 注入?

當攻擊者能夠將惡意程式碼注入 Web 應用程式時,就會發生 JavaScript 注入。這可以透過多種方式實現,例如輸入欄位、URL 參數,甚至 cookie。一旦注入,惡意程式碼就可以在 Web 應用程式的上下文中執行,可能導致資料竊取、未經授權的操作和其他有害後果。

JavaScript 注入攻擊的常見型別:

1.跨站腳本 (XSS): 將惡意腳本注入其他使用者檢視的網頁中。
2.基於 DOM 的 XSS: 操縱 DOM 環境來執行惡意 JavaScript。
3. SQL注入:注入可以對資料庫執行任意查詢的SQL指令。

偵測 JavaScript 注入攻擊:

1. 輸入驗證:

  • 驗證客戶端和伺服器端的所有使用者輸入。
  • 使用正規表示式確保輸入符合預期格式。
function validateInput(input) {
    const regex = /^[a-zA-Z0-9_]*$/; // Example regex for alphanumeric and underscore
    return regex.test(input);
}

const userInput = document.getElementById('user-input').value;
if (!validateInput(userInput)) {
    alert('Invalid input');
}

2. 內容安全策略(CSP):

實作CSP來控制JavaScript的載入和執行來源。


3.轉義用戶輸入:

轉義所有使用者輸入以防止執行惡意腳本。

function escapeHTML(input) {
    const div = document.createElement('div');
    div.appendChild(document.createTextNode(input));
    return div.innerHTML;
}

const safeInput = escapeHTML(userInput);
document.getElementById('output').innerHTML = safeInput;

防止 JavaScript 注入攻擊:

1.使用準備好的語句:

對於SQL查詢,使用準備好的語句以避免SQL注入。

const query = 'SELECT * FROM users WHERE username = ?';
db.execute(query, [username], (err, results) => {
    // Handle results
});

2. 清理使用者輸入:

使用 DOMPurify 等函式庫來淨化 HTML 並防止 XSS 攻擊。

const cleanInput = DOMPurify.sanitize(userInput);
document.getElementById('output').innerHTML = cleanInput;

僅 HTTP Cookie:

使用僅限 HTTP 的 cookie 來阻止透過 JavaScript 存取 cookie。

document.cookie = "sessionId=abc123; HttpOnly";

4.限制JavaScript能力:

使用子資源完整性 (SRI) 等功能來確保僅執行受信任的腳本。



例子:

考慮一個可能容易受到 JavaScript 注入的簡單登入表單。以下是保護它的方法:

HTML:

JavaScript:

document.getElementById('login-form').addEventListener('submit', function(event) {
    const username = document.getElementById('username').value;
    const password = document.getElementById('password').value;

    if (!validateInput(username) || !validateInput(password)) {
        alert('Invalid input');
        event.preventDefault();
    }
});

function validateInput(input) {
    const regex = /^[a-zA-Z0-9_]*$/;
    return regex.test(input);
}

伺服器端(Node.js 範例):

const express = require('express');
const app = express();
const bodyParser = require('body-parser');
const mysql = require('mysql');

const db = mysql.createConnection({
    host: 'localhost',
    user: 'root',
    password: '',
    database: 'test'
});

app.use(bodyParser.urlencoded({ extended: true }));

app.post('/login', (req, res) => {
    const username = req.body.username;
    const password = req.body.password;

    const query = 'SELECT * FROM users WHERE username = ? AND password = ?';
    db.execute(query, [username, password], (err, results) => {
        if (err) throw err;
        if (results.length > 0) {
            res.send('Login successful');
        } else {
            res.send('Invalid credentials');
        }
    });
});

app.listen(3000, () => {
    console.log('Server is running on port 3000');
});

結論:

偵測並防止 JavaScript 注入攻擊對於維護 Web 應用程式的安全至關重要。透過實施本部落格中討論的技術,您可以顯著降低此類攻擊的風險。請記得驗證和清理所有使用者輸入、使用 CSP、僅限 HTTP 的 cookie,並使用 SRI 限制 JavaScript 功能。

請繼續關注更多有關高級 JavaScript 主題和網路安全的部落格。請隨時在下面的評論中分享您的想法和經驗。我們可以一起建立更安全的 Web 應用程式!

版本聲明 本文轉載於:https://dev.to/rigalpatel001/advanced-techniques-for-detecting-and-preventing-javascript-injection-attacks-4n61?1如有侵犯,請聯絡[email protected]刪除
最新教學 更多>
  • 如何使用 Golang 中的自訂標誌將多個值解析為清單?
    如何使用 Golang 中的自訂標誌將多個值解析為清單?
    Golang 中列表的自訂標誌Golang 的標誌包允許簡單的參數解析,但它通常支援基本類型,如字元串、整數、或布林值。在使用值列表時,這似乎是有限制的。 Golang 允許透過實作 flag.Value 介面來建立自訂標誌。此介面需要實作兩個方法:String() 和 Set()。透過為清單定義自...
    程式設計 發佈於2024-12-22
  • 如何在 CSS 中強制換行沒有空格的長字串?
    如何在 CSS 中強制換行沒有空格的長字串?
    沒有空格的長字串強制換行沒有任何空格字元的長字串(例如DNA 序列)可能會帶來可讀性挑戰當顯示在文字欄位中。為了克服這個問題,有必要使用強製文字換行的 CSS 選擇器。 對於區塊元素,適當的CSS 樣式是:word-wrap: break-word;此樣式允許文字在任何字元處中斷,即使沒有指定的空格...
    程式設計 發佈於2024-12-22
  • 如何在 Android 中使用位置服務來檢索緯度和經度?
    如何在 Android 中使用位置服務來檢索緯度和經度?
    使用位置服務在Android 中檢索緯度和經度坐標在Android 開發中,確定用戶當前位置對於各種應用程式來說通常是必要的。本指南提供有關如何使用 LocationManager 類別取得緯度和經度座標的詳細說明。 使用LocationManager要取得目前位置,請依照下列步驟操作:初始化Loc...
    程式設計 發佈於2024-12-22
  • 如何在 PHP 中安全可靠地執行 SSH 指令?
    如何在 PHP 中安全可靠地執行 SSH 指令?
    安全可靠地使用 PHP 執行 SSH 指令SSH (Secure Shell) 是安全存取遠端伺服器的必備工具。 PHP 提供了多種執行 SSH 指令的方法,但並非所有方法都是相同的。 本機 PHP 選項最直接的方法是使用 shell_exec()。但是,此方法存在安全隱患,不建議用於生產環境。 p...
    程式設計 發佈於2024-12-22
  • C/C++ 指標宣告中的星號應該放在哪裡?
    C/C++ 指標宣告中的星號應該放在哪裡?
    指針:用星號放置進行聲明在 C 和 C 中,指針聲明的風格各不相同,常常引起混亂。問題出現了:星號 (*) 應該放置在類型名稱還是變數名稱旁邊? 放置約定兩個主要的放置約定很常見:類型相鄰: ] 星號位於型別旁name.someType* somePtr;Variable-adjacent: 星號位...
    程式設計 發佈於2024-12-22
  • 在 Go 中使用 WebSocket 進行即時通信
    在 Go 中使用 WebSocket 進行即時通信
    构建需要实时更新的应用程序(例如聊天应用程序、实时通知或协作工具)需要一种比传统 HTTP 更快、更具交互性的通信方法。这就是 WebSockets 发挥作用的地方!今天,我们将探讨如何在 Go 中使用 WebSocket,以便您可以向应用程序添加实时功能。 在这篇文章中,我们将介绍: WebSoc...
    程式設計 發佈於2024-12-22
  • CSS 中的「背景」和「背景顏色」有什麼不同?
    CSS 中的「背景」和「背景顏色」有什麼不同?
    CSS 中“背景”和“背景顏色”的區別設計Web 元素樣式時,必須了解它們之間的區別“背景”和“背景顏色”屬性。儘管名稱相似,但這些屬性具有不同的用途。 「background-color」屬性設定元素的背景顏色。它允許您指定填充元素整個背景的純色。例如:body { background-colo...
    程式設計 發佈於2024-12-22
  • 如何使用環境變數或設定檔動態管理 Spring Boot 應用程式中的資料庫連線設定?
    如何使用環境變數或設定檔動態管理 Spring Boot 應用程式中的資料庫連線設定?
    在Spring Boot應用程式中使用環境變數.properties在Spring Boot應用程式中,可能存在需要進行資料庫連線設定的情況跨不同環境(例如本地、測試和生產)的動態。一種方法是利用環境變數並將它們包含在 application.properties 檔案中。 要為不同的環境設定環境變...
    程式設計 發佈於2024-12-22
  • 插入資料時如何修復「常規錯誤:2006 MySQL 伺服器已消失」?
    插入資料時如何修復「常規錯誤:2006 MySQL 伺服器已消失」?
    插入記錄時如何解決「一般錯誤:2006 MySQL 伺服器已消失」介紹:將資料插入MySQL 資料庫有時會導致錯誤「一般錯誤:2006 MySQL 伺服器已消失」。當與伺服器的連線遺失時會出現此錯誤,通常是由於 MySQL 配置中的兩個變數之一所致。 解決方案:解決此錯誤的關鍵是調整wait_tim...
    程式設計 發佈於2024-12-22
  • 如何在 PHP 中組合兩個關聯數組,同時保留唯一 ID 並處理重複名稱?
    如何在 PHP 中組合兩個關聯數組,同時保留唯一 ID 並處理重複名稱?
    在 PHP 中組合關聯數組在 PHP 中,將兩個關聯數組組合成一個數組是常見任務。考慮以下請求:問題描述:提供的代碼定義了兩個關聯數組,$array1 和 $array2。目標是建立一個新陣列 $array3,它合併兩個陣列中的所有鍵值對。 此外,提供的陣列具有唯一的 ID,而名稱可能重疊。要求是建...
    程式設計 發佈於2024-12-22
  • 如何在Go的SQL包中查詢未知列類型的資料?
    如何在Go的SQL包中查詢未知列類型的資料?
    探索Go 的SQL 套件中的臨時查詢雖然文件顯示使用SQL 套件在Go 中查詢資料需要了解列數和編譯時類型,這並不嚴格正確。 sql.Rows 類型為靈活且即席的 SQL 查詢提供了解決方案。 動態列元資料擷取sql.Rows 中的 Columns 方法提供了以下清單:結果列名稱。這允許您動態確定任...
    程式設計 發佈於2024-12-22
  • 您可以在 C++ 中重載內建類型(例如“int”和“float”)的運算子嗎?
    您可以在 C++ 中重載內建類型(例如“int”和“float”)的運算子嗎?
    可以為內在型別重載運算子嗎? 在 C 中,可以為使用者定義型別重載運算子。然而,int、float等內在類型不是使用者定義的,所以問題來了:它們的運算子可以重載嗎? 如同提供的答案所述,不可能重新定義內建運算子。運算子重載是一種機制,允許開發人員透過在自己的類型上下文中定義運算子的自訂行為來擴展語言...
    程式設計 發佈於2024-12-22
  • 為什麼 Selenium 會拋出「WebDriverException:訊息:『Webdrivers』可執行檔可能有錯誤的權限」錯誤?
    為什麼 Selenium 會拋出「WebDriverException:訊息:『Webdrivers』可執行檔可能有錯誤的權限」錯誤?
    Selenium 中的「Webdrivers」可執行權限錯誤問題描述嘗試在Python 中使用Selenium 時,您可能會遇到錯誤訊息:WebDriverException: Message: 'Webdrivers' executable may have wrong permissions. ...
    程式設計 發佈於2024-12-22
  • HTML 格式標籤
    HTML 格式標籤
    HTML 格式化元素 **HTML Formatting is a process of formatting text for better look and feel. HTML provides us ability to format text without us...
    程式設計 發佈於2024-12-22
  • 如何使用 WHERE 子句在 MySQL 中查詢 JSON 資料?
    如何使用 WHERE 子句在 MySQL 中查詢 JSON 資料?
    如何在 MySQL 中查詢 JSON 資料在 MySQL 資料庫中,JSON 物件可以儲存在表格列中。但是,如果沒有適當的技術,運行利用這些 JSON 欄位的查詢可能會很困難。本指南提供了使用 WHERE 子句輕鬆查詢 JSON 資料的方法,使開發人員能夠根據 JSON 物件屬性過濾和檢索特定記錄。...
    程式設計 發佈於2024-12-22

免責聲明: 提供的所有資源部分來自互聯網,如果有侵犯您的版權或其他權益,請說明詳細緣由並提供版權或權益證明然後發到郵箱:[email protected] 我們會在第一時間內為您處理。

Copyright© 2022 湘ICP备2022001581号-3