防止XSS(Cross Site Scripting)攻击,防止在提交表单时注入Script

最新推荐文章于 2022-12-24 18:02:13 发布
最新推荐文章于 2022-12-24 18:02:13 发布
阅读量752 收藏
点赞数
文章标签: java c# javascript ViewUI
原文链接:https://my.oschina.net/u/3760785/blog/1925868
版权

1.概念

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

2.故事的起源

当用户在大型文本框中输入时(评论框),限制输入的长度很长,可能有人恶意在输入框中填入<script>脚本代码,一旦网站没对该文本框做输入合法验证,保存到数据库中,那么在其他用户在查看评论时,很有可能被当做真正脚本执行,可能是页面跳转,可能是Cookie读取等危险行为。为了更安全的处理文本框数据。请记住

1.控制文本框输入有限的长度,2.合法性验证,3.将非法字符替换后保存,4.加载到HTML之前做Encode处理。

3.HTML转码对照表

http://tool.chinaz.com/Tools/htmlchar.aspx

4.HTML端将带有Script的危险字符串转码。

var HtmlEncode = function(str){
    var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');
    var preescape = str;
    var escaped = "";
    for(var i = 0; i < preescape.length; i++){
        var p = preescape.charAt(i);
        escaped = escaped + escapeCharx(p);
    }
    
    return escaped;
                    
    function escapeCharx(original){
        var found=true;
        var thechar=original.charCodeAt(0);
        switch(thechar) {
            case 10: return "<br/>"; break; //newline
            case 32: return "&nbsp;"; break; //space
            case 34:return "&quot;"; break; //"
            case 38:return "&amp;"; break; //&
            case 39:return "&#x27;"; break; //'
            case 47:return "&#x2F;"; break; // /
            case 60:return "&lt;"; break; //<
            case 62:return "&gt;"; break; //>
            case 198:return "&AElig;"; break;
            case 193:return "&Aacute;"; break;
            case 194:return "&Acirc;"; break; 
            case 192:return "&Agrave;"; break; 
            case 197:return "&Aring;"; break; 
            case 195:return "&Atilde;"; break; 
            case 196:return "&Auml;"; break; 
            case 199:return "&Ccedil;"; break; 
            case 208:return "&ETH;"; break;
            case 201:return "&Eacute;"; break; 
            case 202:return "&Ecirc;"; break; 
            case 200:return "&Egrave;"; break; 
            case 203:return "&Euml;"; break;
            case 205:return "&Iacute;"; break;
            case 206:return "&Icirc;"; break; 
            case 204:return "&Igrave;"; break; 
            case 207:return "&Iuml;"; break;
            case 209:return "&Ntilde;"; break; 
            case 211:return "&Oacute;"; break;
            case 212:return "&Ocirc;"; break; 
            case 210:return "&Ograve;"; break; 
            case 216:return "&Oslash;"; break; 
            case 213:return "&Otilde;"; break; 
            case 214:return "&Ouml;"; break;
            case 222:return "&THORN;"; break; 
            case 218:return "&Uacute;"; break; 
            case 219:return "&Ucirc;"; break; 
            case 217:return "&Ugrave;"; break; 
            case 220:return "&Uuml;"; break; 
            case 221:return "&Yacute;"; break;
            case 225:return "&aacute;"; break; 
            case 226:return "&acirc;"; break; 
            case 230:return "&aelig;"; break; 
            case 224:return "&agrave;"; break; 
            case 229:return "&aring;"; break; 
            case 227:return "&atilde;"; break; 
            case 228:return "&auml;"; break; 
            case 231:return "&ccedil;"; break; 
            case 233:return "&eacute;"; break;
            case 234:return "&ecirc;"; break; 
            case 232:return "&egrave;"; break; 
            case 240:return "&eth;"; break; 
            case 235:return "&euml;"; break; 
            case 237:return "&iacute;"; break; 
            case 238:return "&icirc;"; break; 
            case 236:return "&igrave;"; break; 
            case 239:return "&iuml;"; break; 
            case 241:return "&ntilde;"; break; 
            case 243:return "&oacute;"; break;
            case 244:return "&ocirc;"; break; 
            case 242:return "&ograve;"; break; 
            case 248:return "&oslash;"; break; 
            case 245:return "&otilde;"; break;
            case 246:return "&ouml;"; break; 
            case 223:return "&szlig;"; break; 
            case 254:return "&thorn;"; break; 
            case 250:return "&uacute;"; break; 
            case 251:return "&ucirc;"; break; 
            case 249:return "&ugrave;"; break; 
            case 252:return "&uuml;"; break; 
            case 253:return "&yacute;"; break; 
            case 255:return "&yuml;"; break;
            case 162:return "&cent;"; break; 
            case '\r': break;
            default:
                found=false;
                break;
        }
        if(!found){
            if(thechar>127) {
                var c=thechar;
                var a4=c%16;
                c=Math.floor(c/16); 
                var a3=c%16;
                c=Math.floor(c/16);
                var a2=c%16;
                c=Math.floor(c/16);
                var a1=c%16;
                return "&#x"+hex[a1]+hex[a2]+hex[a3]+hex[a4]+";";        
            }
            else{
                return original;
            }
        }    
    }
}

然后使用上面的方法来转码

$(document).ready(function(){
    var tblStr = "<script>alert(123);<\/script>";
    tblStr = HtmlEncode(tblStr);
    $("#div_content").html(tblStr);
});
<body>
    <div>
      <span id="div_content">
      </span>
    </div>  
</body>

5.效果图

转载于:https://my.oschina.net/u/3760785/blog/1925868

chlxewo58087
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
post表单防止注入
01-22
post表单,这个不知道大家会不会,传上来分享一下,呵呵
Using Content Security Policy to Prevent Cross-Site Scripting (XSS)
cnbird's blog
02-08 743
On SendSafely.com we make heavy use of many new JavaScript APIs introduced with HTML5. We encrypt files, calculate checksums and upload data using pure JavaScript.  Moving logic like this down to the
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 4020
上传文件流防XSS
页面输出用 js 转义替换字符串中的 script 标签,防止 XSS
haojiliang
02-06 4357
function stringEncode(str){ var div=document.createElement('div'); if(div.innerText){ div.innerText=str; }else{ div.textContent=str; } return div.i...
获取表单防止注入 子程序
aaa117659928的专栏
09-17 345
&lt;body&gt; &lt;% czkh = Saferequest("czkh",0) czme = Saferequest("czme",0) if czkh = "" or czme = "" then response.write "&lt;script&gt;alert('请填写内容');&lt;/script&gt;" respons
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
sql注入xss攻击常见形式和解决方法
01-01
XSS 攻击(Cross-Site Scripting)是一种恶意攻击方式,攻击者可以通过在 Web 页面中插入恶意 HTML 代码来攻击用户。防范 XSS 攻击的方法有: 1. 使用 htmlspecialchars 函数:htmlspecialchars 函数可以将特殊字符...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范.doc
07-14
二、XSS跨站脚本攻击(Cross-Site Scripting) 2.1 名词解释:XSS跨站脚本攻击是一种将恶意的脚本代码注入到Web页面中,使用户在不知情的情况下执行恶意的脚本代码的攻击方式。 2.2 经典案例说明:例如,一个攻击...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的朋友可以参考下
php表单提交注入,php实现防注入表单提交值转义的代码
weixin_33855603的博客
03-10 138
一般在php代码中添加防止sql注入的功能,主要是对表单提交过来的值做相应的处理,然后才可以把数据更新到数据库中。以下函数实现各种值的转换,代码如下:复制代码 代码示例:/*** php表单字符转义* 防止sql注入* edit www.jbxue.com*/function quotes($content){//如果magic_quotes_gpc=Off,那么就开始处理if (!get_mag...
防止Cross-site scripting (XSS)
yz1234的专栏
06-09 604
[code="java"]public String filter(String url) { String sanitized = url; sanitized = sanitized.replaceAll("", "&gt;"); sanitized = sanitized.replaceAll("\\(", "&#40;").replaceAll("\\)&q
CHECKMARX安全漏洞检测防止XSS(Cross Site Scripting)跨站脚本攻击
weixin_46409166的博客
02-01 1879
亚马逊API抓取流程记录 亚马逊API文档地址 http://docs.developer.amazonservices.com/zh_CN/orders/2013-09-01/Orders_ListOrders.html 亚马逊测试: https://mws.amazonservices.com/scratchpad/index.html 总结以下是亚马逊踩坑的几个点,首先为必传参数Timestamp格式必须为转换为 yyyy-MM-dd’T’HH:mm:ss.sss’Z’ 格式化后必须设置区为UTC
防止恶意代码注入XSS(cross site scripting)
weixin_34414196的博客
06-26 338
Login.PHP页面 <!DOCTYPEhtml> <html> <head> <title>登录页面</title> <metahttp-equiv="content-type"content="text/html;charset=utf-8"/> </head> <body&...
前端安全(3):预防跨站脚本(Cross-Site ScriptingXSS
imagine_tion的博客
12-10 2433
一、如何预防XSS XSS 攻击有两⼤要素: 攻击提交恶意代码。 浏览器执⾏恶意代码。 针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢? 输入过滤 在⽤户提交,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数
防止XSS注入的一种实现方式
a64540339的专栏
11-13 1560
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。   比如说在表单input里输入&lt;script&gt;alert("xss")&lt;/script&gt; 然后提交,就会在页面弹出窗口,所以我们就要过...
[风一样的创作]防XSS注入攻击
fyydrs的博客
12-29 1729
一.首先大概理解下什么是XSS注入攻击 XSS注入攻击本质上就是通过你服务本身的接口把一些HTML,CSS,JS,SQL语句等内容存储进你的服务里面,一般是数据库里面,这候就可以通过这些存储进去的内容拿取到一些你的数据库隐藏内容或者破坏你的页面排版,比如乱弹窗。 二.解决的方法 首先声明,解决方案不止这一种,这只是最简单的一种 1.使用拦截器拦截所有请求,一定要在最顶层 import org.springframework.boot.web.servlet.ServletComponentScan; im
vue xss 存在_防止XSS脚本注入-前端vue、后端springboot
weixin_35952534的博客
01-15 1719
防止XSS脚本注入-前端、后端作者间雨中星辰2020-09-10xss是什么跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。xss脚本注入演示通过表单,先添加一个数据,其中一条数据为脚本插入数据刷新页面刷新页面从截图看,注入的脚本已经执...
SQL注入XSS攻击
最新发布
05-09
SQL注入是一种常见的网络安全漏洞,攻击者可以通过在网站表单或URL参数中注入恶意SQL代码,来获取或篡改数据库中的数据。为防止SQL注入攻击,应该使用参数化查询或存储过程,而不是直接将用户输入拼接到SQL语句中。 XSS攻击(Cross-Site Scripting)是一种利用Web应用程序漏洞攻击用户的技术,攻击者可以在网页中插入恶意脚本代码,当用户浏览页面,脚本代码会在用户浏览器中执行,从而窃取用户的信息或进行其他恶意操作。为防止XSS攻击,应该对用户的输入进行过滤和转义,以确保任何输入的内容都被视为数据而不是代码。另外,也可以使用HTTP头中的CSP(Content Security Policy)来限制网页中JavaScript的执行权限,从而防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值