Skip to content

使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报

Notifications You must be signed in to change notification settings

chokcoco/httphijack

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

54 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

httphijack

使用 Javascript 实现前端防御 http劫持 及防御 XSS攻击,并且对可疑攻击进行上报。

Blog

【前端安全】JavaScript防http劫持与XSS

Usage

引入 httphijack1.0.0.js

<script type="text/javascript" src='./httphijack1.0.0.js'></script>

<script>
	window.httphijack.init();
</script>   

Features:

  • 所有内联 on* 事件执行的代码
  • a标签 href 属性 javascript: 内嵌的代码
  • 静态脚本、iframe 等恶意内容
  • 动态添加的脚本文件、iframe 等恶意内容
  • document-write添加的内容
  • 页面被 iframe 嵌套劫持

Tips:

建立自己的域名白名单、关键字黑名单、上报系统及接收后端。

防御 XSShttp劫持,更多的还是得依靠升级 httpsCSP/CSP2(内容安全策略) 等非 JavaScript 技术,高明的攻击者可以绕过任何 JavaScript 防护。

组件未在生产环境使用,使用了很多 HTML5 才支持的 API,仅供学习交流。

License

MIT

About

使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published