如何防御XSS?

时间:2018-12-10 04:21:19

标签: javascript html xss

我正在制作CTF,这是一场比赛,您必须使用某些方法来获得标志。我正在研究一个问题,他们通过使用XSS来警告javascript变量来获取标志。但是,XSS并不安全,在我的网站上,我无法遇到任何人都可以做我不希望他们做的事情的XSS问题。 我的问题是:是否可以抵御不良攻击,但可以允许一些攻击,以便我的CTF问题成功。我想离开的一些输入内容是alert(flag)

我的html代码是:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">

        <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.1.3/css/bootstrap.min.css" integrity="sha384-MCw98/SFnGE8fJT3GXwEOngsV7Zt27NXFoaoApmYm81iuXoPkFOJwJ8ERdknLPMO"
            crossorigin="anonymous">
        <!--<link rel="stylesheet" href="css/challenge.css">-->
    </head>

    <body>
        <input type="text" id="text"/>
        <button class="btn btn-primary submitButton"></button>
        <p id="result">Result</p>
        <script>
            var flag;
            $.get("[website]/cgi-bin/challenge.py", function(data) {
                flag = data;
            });

            var value;
            $(".submitButton").on("click", function() {
                value = $("#text").val();
                $("#result").html(value);
            });
        </script>
        <script src="http://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8="
            crossorigin="anonymous"></script>
        <script src="https://cdnjs.cloudflare.com/ajax/libs/popper.js/1.14.3/umd/popper.min.js" integrity="sha384-ZMP7rVo3mIykV+2+9J3UJ46jBk0WLaUAdn689aCwoqbBJiSnjAK/l8WvCWPIPm49"
            crossorigin="anonymous"></script>
        <script src="https://stackpath.bootstrapcdn.com/bootstrap/4.1.3/js/bootstrap.min.js" integrity="sha384-ChfqqxuZUCnJSK3+MXmPNIyE6ZbWh2IMqE241rYiqJxyMiZ6OW/JmZQ5stwEULTy"
            crossorigin="anonymous"></script>
    </body>
</html>

$.get()只是从python文件中获取一个类似于"text"的字符串并将其存储在变量标志中。我用[网站]替换了实际的网站。如有必要,我可以放回网站。

0 个答案:

没有答案