UD5工具箱
CSRF 令牌生成与验证模拟器 - 跨站请求伪造防护
同步器令牌模式演示:生成令牌嵌入表单,提交时验证,理解CSRF防护核心流程。
XSS 过滤器绕过测试场 - 安全编码演示
XSS 过滤器绕过测试场
输入XSS攻击载荷,观察不同级别过滤器的防御效果与绕过方式。用于安全编码演示与教育目的。
长度:0 字符
绕过:0/6 个过滤器
预设载荷(点击快速填充):
安全编码最佳实践
1
始终使用HTML实体编码
将 < > " ' & 转义为对应的HTML实体。
2
采用白名单而非黑名单
黑名单容易被绕过,白名单更安全可靠。只允许明确安全的输入通过。
3
部署内容安全策略(CSP)
通过HTTP头限制脚本来源,即使XSS注入成功也难以执行恶意代码。
XSS 安全知识库 (FAQ)
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web安全漏洞,攻击者通过将恶意脚本注入到网页中,当其他用户浏览该网页时,恶意脚本在用户浏览器中执行,从而窃取用户信息、劫持会话、篡改页面内容或进行钓鱼攻击。XSS通常分为三类:反射型XSS(恶意脚本通过URL参数等即时反射)、存储型XSS(恶意脚本被存储在服务器数据库中)、DOM型XSS(通过客户端JavaScript操作DOM触发)。
黑名单过滤试图阻止已知的危险关键词(如
script、alert、onerror等),但攻击者可以通过多种方式绕过:大小写变体(如<SCRIPT>)、嵌套标签(如<scr<script>ipt>)、编码绕过(URL编码、Unicode编码)、使用替代函数(如用prompt替代alert)、使用不常见的事件处理器(如onfocus、onblur、ontoggle)等。黑名单永远无法穷举所有可能的攻击向量。
HTML实体编码将特殊字符转换为对应的HTML实体表示:
< → <,> → >," → ",' → ',& → &。这样,浏览器会将它们当作普通文本显示,而不会将其解释为HTML标签或属性。例如,<script>alert('XSS')</script>经过实体编码后变为<script>alert('XSS')</script>,浏览器会将其显示为纯文本,不会执行脚本。这是防御XSS最基础且最有效的方法之一。
CSP(Content Security Policy,内容安全策略)是一种浏览器安全机制,通过HTTP响应头
Content-Security-Policy或HTML的<meta>标签来声明允许加载的资源来源。例如,script-src 'self'只允许加载同源的脚本,阻止内联脚本执行。CSP可以有效减轻XSS攻击的影响,即使攻击者成功注入了脚本标签,如果该脚本不符合CSP策略,浏览器也会拒绝执行。CSP还可以限制eval()、内联事件处理器等危险行为。
反射型XSS:恶意脚本通过HTTP请求(如URL参数)发送到服务器,服务器将脚本"反射"回响应页面,浏览器解析响应时执行脚本。数据流经服务器端。
DOM型XSS:恶意脚本完全在客户端执行,不经过服务器。攻击利用客户端JavaScript代码(如
DOM型XSS:恶意脚本完全在客户端执行,不经过服务器。攻击利用客户端JavaScript代码(如
innerHTML、document.write()、eval()等)不安全地处理用户输入,直接在DOM中执行恶意代码。服务器日志中可能完全没有记录。DOM型XSS更难被传统WAF检测到。
常见的XSS绕过技巧包括:
- 大小写混淆:使用
<SCRIPT>绕过区分大小写的过滤 - 嵌套标签:
<scr<script>ipt>使简单替换失效 - 编码绕过:HTML实体编码、URL编码、Unicode编码
- 事件处理器替代:使用
onfocus、onblur、ontoggle等不常见事件 - 函数替代:用
prompt()、confirm()替代alert() - 换行/Tab字符:在标签名或属性中插入空白字符
- 空字节注入:在过滤关键词中插入
\0 - SVG/HTML5新标签:利用
<svg>、<details>等标签
DOMPurify是一个广泛使用的开源JavaScript库,专门用于清理HTML内容以防止XSS攻击。它使用白名单方式,只允许安全的HTML标签和属性通过,自动移除所有危险的元素和属性。使用示例:
const clean = DOMPurify.sanitize(dirtyHtml);。DOMPurify支持高度自定义配置,可以指定允许的标签、属性,并处理各种边缘情况。对于需要富文本输入的场景,使用DOMPurify比手动实现过滤器更安全可靠。
HTML是一种极其灵活和复杂的语言,浏览器在解析HTML时具有很高的容错性。简单的正则表达式(如
/<[^>]*>/g)无法处理以下情况:不完整的标签、属性中的特殊字符、编码变体、浏览器特定的解析差异、嵌套结构等。正则表达式不是解析HTML的正确工具——HTML需要专门的解析器。因此,依赖正则表达式过滤用户输入是脆弱且不推荐的。正确做法是使用HTML实体编码或成熟的清理库如DOMPurify。
密码合规策略检查器 - 自定义规则
设置复杂度规则(长度、字符类型、字典排除),测试密码是否满足自定义安全策略。
SQL注入演示平台 - 模拟漏洞与防护
构建一个虚拟的登录窗,演示SQL注入登录绕过,并展示参数化查询如何防范。
图片文字识别轻量版 - Tesseract.js
上传图片,利用Tesseract.js离线识别其中的英文或简单文字并复制。
虚拟信用卡号生成 - 测试用有效Luhn卡号
生成通过Luhn算法校验但无实际金钱的卡片号码,附带有效日期供开发测试。
CSRF Token 验证模拟器 - 理解防护流程
模拟服务端生成与校验CSRF令牌的完整过程,展示隐藏在表单与Session中的同步模式。
焦点陷阱测试工具 - 检测模态框是否困住 Tab
激活模态框后,模拟 Tab 和 Shift+Tab,验证焦点是否被正确限制在对话框内。
简单验证码生成器 - Canvas随机字符图片
生成简单数字或字母验证码图片,带干扰线和噪点,适合前端原型测试,不依赖服务端。
图像挤压/膨胀滤镜 - 局部变形工具
像哈哈镜一样,鼠标滑动对图片局部进行实时的膨胀或挤压变形。
一次性密码本生成器 - 产生随机密钥流
生成与明文等长的真随机密钥,并演示异或加密解密的一次性密码本原理。
事件监听器查看器 - 获取指定元素绑定事件
选择 DOM 元素,列出通过 addEventListener 绑定的所有事件及其类型和监听器(可用时)。
Diceware口令生成器 - 掷骰子选词
虚拟掷5次骰子,根据官方Diceware词表生成强随机且易记忆的通行短语。
语音合成音色浏览器 - 列出所有可用语音
获取设备上所有可用的语音合成音色,试听并比较不同语言和嗓音。
易记密码生成器 - 单词组合安全密码
使用随机常见单词连接数字和符号,生成既安全又容易记忆的密码短语。
应用启动处理器演示 - 焦点现有窗口
配置Launch Handler使PWA应用在重复点击时聚焦到已开窗口,而不是新建窗口。
Leet语转换器 - 在线1337文本风格生成
将普通英文文本转换为Leet语(如E→3, A→4),多种替换强度可选,给文字增添极客风格。
JSON 试题生成器 - 自定义题库随机组卷
上传 JSON 格式题库,随机抽取指定数量题目生成在线测验,自动评分和解析。
SSL证书解析器 - 查看证书请求文件内容
上传或粘贴证书签名请求(CSR)或公开证书内容,提取CN, SAN, 有效期等。
Hashcash工作量证明生成 - 反垃圾邮件
为了演示生成一个简单的Hashcash stamp,需要消耗CPU计算,用于反垃圾机制展示。
随机密码生成器 - 强密码在线生成工具
在线随机密码生成工具,可自定义密码长度、字符类型(大小写、数字、符号),生成高强度的随机密码。
无障碍模态对话框生成器 - 焦点陷阱与关闭
生成带有焦点陷阱、ESC 关闭和背景遮罩的无障碍模态弹窗代码。
强密码生成器加强版 - 可发音/易记/短语组合
生成由随机单词组成的口令短语,或自定义字符集强密码,实时显示强度。
XML转CSV工具 - 在线XML扁平数据导出表格
解析简单XML结构并提取重复节点转换为CSV表格,方便导入电子表格软件。
AudioContext状态监控 - 挂起/运行/关闭
显示当前AudioContext的状态、采样率和输出延迟,并允许一键挂起或恢复。
密码替换谜题生成 - 引言加密挑战
选取一句名言或随机句子,生成单表替换密码的谜题,让玩家解密。
WebAuthn模拟器 - 创建与验证凭据
使用CTAP2模拟器或安全密钥在浏览器中体验无密码注册与认证流程。
公钥指纹查看器 - SSH Key可视化
粘贴SSH公钥,生成对应的OpenSSH randomart视觉指纹图和指纹字符串。
Docker Compose 可视化编辑器 - 图形化服务编排
拖拽服务、网络和卷,直观构建docker-compose.yml,并可导出文件,降低容器编排门槛。
西蒙记忆游戏 - 在线颜色序列重复挑战
经典的Simon Says记忆游戏,观察颜色亮起顺序并重复点击,序列逐渐加长,考验脑力。
页面密码锁 - 输入密码才显示内容
为嵌入的机密内容设置前端密码,只有输入正确密码才显示(需结合JS,不绝对安全)。