课程名称: 新版 Node.js+Express+Koa2 开发Web Server博客
课程章节: xss攻击
课程讲师: 双越
课程内容:
xss攻击
- 前端同学最熟悉的攻击方式,但 server 端更应该掌握
- 攻击防方式:在页面展示内容中掺杂js代码,以获取网页信息
- 预防措施:转换生成js的特殊字符
代码演示:
如果没有做xxs 处理,那前端提交js代码就会执行这个代码,如下:
这个创建博客,后端就会存储js代码,然后前端就会执行这个js代码
安装第三方插件:xss
npm i xss --save
在后端把要存储用户输入的信息都加上xss
const xss = require("xss");
// 新建一篇博客
const newBlog = (blogData = {}) => {
const title = xss(blogData.title);
const content = xss(blogData.content);
const author = xss(blogData.author);
const createTime = Date.now();
};
课程收获:
- 了解xss攻击是什么
- 明白如何处理 xss