XSS攻击及防御

最新推荐文章于 2024-07-31 15:36:49 发布
最新推荐文章于 2024-07-31 15:36:49 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Web安全 文章标签: XSS Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dilomen/article/details/86672204
版权

XSS:跨站脚本攻击

XSS的危害:

  • 获取页面数据,偷取网站任意数据
  • 获取Cookies,偷取重要用户信息
  • 劫持前端逻辑,破坏网站
  • 发送请求给其他服务器
  • ...等等

造成XSS的原因:

XSS攻击分类:

反射型:一般出现在URL注入和表单输入,经过服务器返回执行

存储型:一般出现在评论之类的需要存储与数据库,然后数据库读取时注入

DOM XSS:与前两者不同的是,它不需要经过服务器,即直接在用户浏览器中输入

XSS攻击注入点,产生的原因,解决办法和相应的实例:

接下来的例子采用node作为服务器,先关闭浏览器的对XSS的默认阻止行为,即设置以下代码

res.set('X-XSS-Protection',0);

1.HTML节点内容

产生的原因:

  • 原来的正常数据会生成
<div>
    正常数据
</div>
  • 那么所注入的脚本就会在浏览器读取到脚本时执行生成
<div>
    <script>...</script>
</div>

解决办法:  对做将‘<’和‘>’转义,分别为 &lt 和 &gt

str = str.replace(/</g, '&lt;')
str = str.replace(/>/g, '&gt;')

实例:

先是html的表单,和服务器的部分代码

 <form action="/upload" method="GET">
    <input type="text" name="name">
    <input type="submit" value='提交'>
  </form>
app.get('/upload', (req, res) => {
    let query = req.query.name
    res.set('X-XSS-Protection',0);    //关闭浏览器的默认阻止XSS行为
    res.writeHead(200,{'Content-Type':'text/html;charset=UTF8'})
    res.write(query)
    res.end()
})

然后在表单输入一串脚本,提交 

然后浏览器就会执行脚本的内容

如果对表单数据进行转义,那么就会输出以下结果,而不是执行脚本

app.get('/upload', (req, res) => {
    let query = req.query.name
    query = query.replace(/</g, '&lt;')
    query = query.replace(/>/g, '&gt;')
    res.set('X-XSS-Protection',0);
    res.writeHead(200,{'Content-Type':'text/html;charset=UTF8'})
    res.write(query)
    res.end()
})

 

2.HTML属性

产生原因:

  • 正常HTML属性
<img src="正常地址" />
  • 属性脚本注入,如下面代码,在src输入一个错误地址,那么就会执行onerror事件,触发后面的脚本
<img src="123" onerror="alert(aaa)" />

解决办法:对双引号,单引号,空格进行转义

          &quot; 是 双引号“ 的转义字符,也可以用十进制&#34;,单引号用十进制&#39;空格的十进制是&#32;

if (!str) return ''
str = str.replace(/"/g, '&#34;')
str = str.replace(/'/g, '&#39;')
str = str.replace(/ /g, '&#32;')  //如何你的属性值都是带引号的,可以不设

实例:

服务器代码

app.get('/', (req, res) => {
    var content = fs.readFileSync('./index.html')
    res.writeHead(200,{'Content-Type':'text/html;charset=UTF8'});
    res.write(content)
    res.end()
})

于是脚本就被执行了 

  

然后进行过滤 

app.get('/upload', (req, res) => {
    let query = req.query.name
    query = query.replace(/"/g, '&#34;')
    query = query.replace(/'/g, '&#39;')
    res.set('X-XSS-Protection',0);
    res.writeHead(200,{'Content-Type':'text/html;charset=UTF8'})
    res.write(query)
    res.end()
})

就不会执行脚本了 ,只是显示图片找不到

3.JavaScript代码

产生原因:

  • 在JavaScript中注入
<script>
    var data = "hello";  //正常脚本
    var data = "hello";alert(1);"";   //被注入的脚本
</script>

 解决办法:对“进行 \ 转义,或者直接使用JSON.stringify()对表单进行处理

if (!str) return ''
str = str.replace(/\\/g, '\\\\')   //一定要放前面
str = str.replace(/"/g, '\\"')

或者直接
JSON.stringify(form)

4.富文本

产生原因:

  • 富文本的内容会被生成HTML形式

解决办法:

   使用白名单:

安装: npm install cheerio
引入: var cheerio = require('cheerio')
var $ = cheerio.load(html)

// 白名单
var whiteList = {
    'img': ['src'],
    'a': ['href']
}
$('*').each(function (index, elem) {
    if (!whiteList[elem.name]) {
        $(elem).remove();
        return;
    }
    for (var attr in elem.attribs) {
       if( whiteList[elem.name].indexOf(attr) === -1) {
            $(elem).attr(attr, null)
        }
    }
})

   使用黑名单:

if (!html) return ''
html = html.replace(/<\s*\/?script\s*>/g, '')
html = html.replace(/javascript:[^'"]*/g, '')
html = html.replace(/onerror\s*=\s*['"]?[^'"]*['"]?/g, '')

使用第三方库

安装: npm install xss
var xss = require("xss");
var html = xss('<script>alert("xss");</script>');

5.使用CSP(内容安全策略)

通过指定有效域,即浏览器认可的可执行脚本的有效来源,使服务器管理者有能力减少或消除XSS攻击所依赖的载体

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

 

最后:从根源解决,将网站重要的用户信息进行加密,给Cookie设置HttpOnly属性,这样就不能通过document.cookie来访问Cookie了

Dilomen
关注
专栏目录
xss漏洞攻防
mackilo的博客
12-20 9297
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
XSS攻击防御总结和各平台通关思路
qq_43710889的博客
08-05 3511
XSS原理 跨站脚本攻击XSS(cross site scripting)。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采用cookie窃取、会话劫持、钓鱼欺骗等各种攻击。 漏洞存在的主要原因: 参数输入未经过安全过滤 恶意脚本被输出到网页 用户的浏览器执行了恶意脚本 XSS漏洞分类 1.反射型XSS 也称非持久型、参数型跨站脚本。主要用于恶意脚本附加在URL地址的参数中。他需要欺骗
手摸手带你进行XSS攻击防御
最新发布
公众号:该用户快成仙了
07-31 1001
简单来说,通过设置CSP来控制浏览器加载页面时允许执行的资源来源,这样来减少XSS攻击
xss攻击如何防护
dexunjiaqiang的博客
06-18 1042
XSS攻击全称跨站脚本攻击,利用网站漏洞从用户那里恶意盗取信息。
XSS攻击防御
jeammy06061026的博客
06-10 384
最近在看XSS,先把两篇比较好的博客链接记上,方便以后更新查找; XSS原理与剖析 XSS攻击技术详解
xss攻击防御
my_love_download的博客
08-31 141
防御xss的攻击,首先我们需要知道什么是xss攻击?它是怎么进行攻击的?然后再去防御它! xss攻击是什么? 简单来说就还是攻击者通过利用网页开发留下的漏洞,通过巧妙的方式注入恶意指令代码到网页中,使得用户加载并执行者段恶意的代码,攻击成功之后,攻击者会获取到用户的私人网页内容、会话和cookie等!然后攻击者会利用获取到的信息,来进行一些恶意的操作来破坏网站 xss是怎么进行攻击的? 存储型:恶意代码被当作正常数据存储到数据库中,当用户正常操作时,恶意代码就会从数据库中取出来. 反射型:恶意代码被表单
web安全XSS攻击防御pdf
08-25
### Web安全XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
Web安全XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
8、XSS 攻击的防御pdf资料
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
XSS攻击和简单的防御
snow_love_xia的博客
04-01 605
一、什么是XSS?百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对...
XSS 攻击与防御
qq_42646885的博客
08-05 554
XSS(Cross Site Scripting) XSS,全称Cross Site Scripting,即跨站脚本攻击,也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在浏览器上运行。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。还有一种特殊的基于DOM的XSS(DOM Based XSS) 1、反射型XSS 又称为非持...
如何防御XSS攻击
todarkness的博客
07-14 802
XSS(CrossSiteScripting,跨站脚本攻击) xss全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有JavaScript的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。 运行预期之外的脚本带来的后果有很多中,可能只是简单的恶作剧————一个关不掉的窗口: 也可以盗号或者其他未授权的操作。 Xss是实现CSRF的诸多途径中的一...
XSS攻击防御
qq_45448359的博客
03-15 266
XSS攻击防御 XSS:Cross Site Scripting 跨站脚本攻击 存储型XSS 恶意用户提交了恶意内容到服务器 服务器没有识别,保存了恶意内容到数据库 正常用户访问服务器 服务器在不知情的情况下,给予了之前的恶意内容,让正常用户遭到攻击 反射型 恶意用户分享了一个正常网站的链接,链接中带有恶意内容 正常用户点击了该链接 服务器在不知情的情况,把链接的恶意内容读取了出来,放进了页面中,让正常用户遭到攻击 DOM型 恶意用户通过任何方式,向服务器中注入了一些dom元素,
如何防止XSS攻击
m0_49521873的博客
05-23 6649
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
前端安全XSS攻击防御策略
天涯学馆
05-13 1893
XSS(Cross-Site Scripting)攻击是前端安全中的一个重要问题,它发生在攻击者能够注入恶意脚本到网页中,这些脚本在用户浏览器中执行时可以获取用户的敏感信息,例如会话令牌、个人信息等。
XSS漏洞防护
weixin_30735391的博客
11-27 177
主要是添加黑名单进行拦截 public class XSSFilter implements Filter { private final Log logger = LogFactory.getLog(XSSFilter.class); // XSS处理Map private static Map<String,Stri...
XSS攻击防御手册:英繁对照指南
XSS-攻擊與防禦手冊(英繁版)是一份...这本书提供了深入浅出的XSS攻击分析和防御指南,对于开发人员、安全专家和防御者来说,是一份重要的参考资料。通过阅读和理解其中的内容,可以更好地保护网站和用户免受XSS威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值