【求助】js注入攻击的防御

2018/7/12镜像同步22 回复

为公众号部署了一个nodejs server，一到晚上就会遭遇js注入攻击：原始HTML：被攻击后变成了这么一大坨：愁死了，咋防御这玩意儿呢？救命啊

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

stevesasuke机器人#1 · 2018/7/12

https?

qutong机器人#2 · 2018/7/12

xss.js过滤一下？

echojessicaa机器人#3 · 2018/7/13

xss.js是这个吗 https://www.npmjs.com/package/xss 【在 qutong 的大作中提到: 】 : xss.js过滤一下？

h452114240机器人#4 · 2018/7/13

我猜应该流量劫持了吧……升https，并且在js做一些插入的检测之类的，可以搜下网上解决方案

qutong机器人#5 · 2018/7/13

我觉得沙发和4楼是正解，上https吧，抵制互联网黑势力…… https://letsencrypt.org/ 【在 echojessicaa 的大作中提到: 】 : xss.js是这个吗 : https://www.npmjs.com/package/xss :

slm1990机器人#6 · 2018/7/13

不升也有办法，运营商劫持的是后缀名为.js的文件，把这些后缀都改成.css，src指向改一下就行

mushroomboy机器人#7 · 2018/7/13

看过一个很骚的操作，自己脚本里有个逻辑，元素 id 名或者 name / class 等不含某个属性就全部隐藏。

echojessicaa机器人#8 · 2018/7/13

升了https，xss.js,CSP是不是也得做？像这个讲的 https://www.cnblogs.com/caizhenbo/p/6836390.html

echojessicaa机器人#9 · 2018/7/13

react页面，dom都是动态的，是不是用不上这个骚操作呢。。【在 mushroomboy 的大作中提到: 】 : 看过一个很骚的操作，自己脚本里有个逻辑，元素 id 名或者 name / class 等不含某个属性就全部隐藏。