解决跨站脚本执行漏洞

最新推荐文章于 2024-05-13 13:45:23 发布
最新推荐文章于 2024-05-13 13:45:23 发布
阅读量3.1k 收藏
点赞数
分类专栏: Java 安全 文章标签: Java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axing2015/article/details/89152166
版权
Java 同时被 2 个专栏收录
19 篇文章 1 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

控制java后端返回前端<script>callback(alert("a"))</script>是否弹出提示框

今天收到安全部门反馈的一个问题,现象是这样的:

通过文件导入名单,并回显到前台输入框,再回显之后,浏览器会弹出一个alert提示框。
文件内容是:abc’);alert(/cbd/);//
回显到输入框:abc
弹出框是:cbd

jsp前端代码

<s:form method="post" action="http://localhost:8800/cms/name.do" enctype="multipart/form-data">
	<s:file name="file" theme="simple"/>
    <input type="submit" value="提交"/>
</s:form>
<input type="text" id="memberId"/>
<script>
    function callback(param){
        document.getElementById("memberId").value = param;
    }
</script>

java后端代码

private File file;

BufferedReader br = new BufferedReader(new ImputStreamReader(new FileImputStream(file),"UTF-8"));
...省略一些读取文件内容代码
String msg = br.readLine();

// 获取 javax.servlet.http.HttpServletResponse 不做多的介绍
// 设置 header、encoding、contentType
response.setHeader("Charset", "UTF-8");
response.setCharacterEncoding("UTF-8");
response.setContentType("text/html");
// 获取 PrintWriter
PrintWriter writer = reponse.getWriter();
// 直接写到前端
writer.writr(<script>callback(msg)</script>);
writer.close();

通过上面的代码可知问题是出在上传文件中包含了alert(/cbd/);内容,在后端读取之后,直接返回到了前端,前端则直接执行了alert弹出了提示框。

解决该问题需要通过org.apache.commons.lang.StringEscapeUtils.escapeJavaScript(msg)工具对读取文件内容进行转义,这样到前台只会当成字符串输出。

StringEscapeUtils里面有很多工具方法,有兴趣的可以研究一下。

天河一粟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Agora.CGI跨站脚本执行漏洞(CVE-2001-1199),该漏洞应该怎么修复呢?
chenzongguang的博客
12-21 1652
Agora.CGI跨站脚本执行漏洞(CVE-2001-1199),该漏洞应该怎么修复呢?
跨站脚本执行漏洞详解与防护
01-20
本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。  声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负!  【漏洞成因】  原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。  【漏洞形式】  这里所说的形式,实际上是指CGI输入的形式,主要分为两种:  1.显示输入  2.隐式输入  其中显示输入明确要求用户输入数据,而
跨站脚本(XSS)漏洞_跨站脚本漏洞
最新发布
jennycisp的博客
05-13 1173
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。
跨站脚本执行漏洞详解
qq3245505的博客
11-02 1017
由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。   声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负!   【漏洞成因】   原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。   【漏洞形式】   这里所说的形...
跨站脚本执行漏洞利用技巧两则
com0do的专栏
12-06 981
谈到跨站脚本执行漏洞,想必大家已经比较熟悉了吧?这里向大家介绍两则利用跨站脚本执行漏洞攻击 的技巧,当然我也会为大家提供临时解决方法。废话少说,下面我就开始讲。【技巧一】大家都知道文件上载吧?很多网站都提供了这个功能。利用文件上载进行攻击的方法很多,就不赘述 了,这里主要介绍一下如何利用文件上载进行跨站脚本执行漏洞攻击。我们还记得去年闹得沸沸扬扬的CrazyBird发现的IE的漏洞吧?原文可以从下
跨站脚本执行漏洞代码的几点思路
caiguazheng4921的博客
04-19 184
跨站脚本执行漏洞代码的6个思路分析: 1.构造一个提交,目标是能够显示用户Cookie信息: http://www.xxxx.net/txl/login/login.pl?username=<script>alert(document.cookie)</script>&passwd=&ok.x=28&ok.y...
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
ASP源码—修补跨站脚本攻击漏洞.zip
11-03
这个"ASP源码—修补跨站脚本攻击漏洞.zip"压缩包文件显然是针对ASP应用的安全性,特别是修复跨站脚本(Cross-Site Scripting, XSS)攻击的解决方案。 跨站脚本攻击是网络安全领域中常见的一种攻击方式,它发生在...
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
跨站脚本攻击(Cross-Site Scripting,简称XSS)是...综上所述,360的这个防注入跨站脚本攻击漏洞补丁是一个全面的解决方案,涵盖了多种服务器端技术,并提供了具体的防御措施,对于提升Web应用的安全性具有重要作用。
解决BEA WebLogic Platform 8.14跨站脚本编制漏洞问题
03-19
1. **跨站脚本(XSS)攻击**:XSS漏洞允许攻击者在用户的浏览器上执行恶意脚本,可能盗取会话cookies,执行钓鱼攻击,或者进行其他恶意操作。 2. **BEA WebLogic Platform 8.14**:这是WebLogic的一个旧版本,可能...
如何解决跨站脚本攻击
热门推荐
z69183787的专栏
06-25 2万+
摘要: Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。 攻击 一个get请求 GET /welcome.cgi Cross-site scripting(CSS or XSS)跨
CVE-2020-10199 远程命令执行漏洞
m0_46580995的博客
07-23 2669
Nexus Repository Manager 3 远程命令执行漏洞CVE-2020-10199) 其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。 复现环境 vulhub 复现漏洞首先要知道用户名和密码,vulhub已经给出 admin/admin 使用msf5搜索exp CVE-2020-10199 use exp查看选项 show options x需要配置Rhost,Lhost ,password和port check一下 目标脆弱可以run ls ...
安全漏洞之XSS跨站脚本执行漏洞
zhen_hero的博客
03-27 777
            XSS跨站脚本执行漏洞 漏洞描述 渗透测试人员发现,在实时营销策略管理中的策略编码和策略名称中填入<imgsrc=xonerror='alert(document.cookie)';>发现会显示cookie,抓包发现EVENT_ID,EVENT_NAME两个字段存在xss漏洞漏洞建议 对所有用户提交内容进行可靠的输入验证,包括对...
应用安全 - 端口漏洞整理
weixin_30549175的博客
06-18 2865
21 FTP弱密码22 SSH弱密码23 telnet弱密码25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控69 尝试下载目标及其的各类重要配置文件80 IIS6 RCE80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探111 NFS ...
HTTP/2 资源管理错误漏洞(CVE-2019-9513)脆弱性分析报表修复
懂哥的博客
03-12 2万+
一、概述 nginx 1.16.1 稳定版和 nginx 1.17.3 主线版发布 修复安全问题 nginx 1.17.3 安全:当使用 HTTP/2 时,客户端可能会导致过多的内存消耗和 CPU 使用 (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) Bugfix:使用 gzipping 时 "zero size buf" 警告可能会出现在日志中...
Litotes (Noun)
coiuh4498的博客
02-28 132
Definition 1: A figure of speech that uses dramatic understatement to express a positive idea by negating its oppo...
Interpellate (Verb)
coiuh4498的博客
02-28 110
Definition 1: To question formally concerning an official action or personal conduct, generally done on the part o...
修复XSS跨站漏洞,我需要更详细的信息
04-11
好的,修复 XSS 跨站漏洞需要注意以下几点: 1. 输入验证:对于用户输入的数据需要进行验证,确保数据符合预期,可以使用正则表达式或自定义函数等方式。 2. 输出过滤:对于输出到页面的数据需要进行过滤,避免恶意脚本执行,可以使用 HTML 转义或其他过滤方式。 3. Cookie 安全:需要设置 HttpOnly 属性,防止 cookie 被 JavaScript 访问,避免被窃取。 4. CSP 配置:设置 Content-Security-Policy 响应头,限制页面加载的资源来源,避免恶意代码的注入。 5. 安全编码:对于 JavaScript 代码需要进行安全编码,避免恶意代码注入。 希望这些信息能够帮助你解决 XSS 跨站漏洞问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值