跨站脚本 XSS漏洞解决办法

最新推荐文章于 2024-05-11 14:15:05 发布
最新推荐文章于 2024-05-11 14:15:05 发布
阅读量684 收藏 4
点赞数 1
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cs95T6/article/details/124588725
版权

在这里插入图片描述
通过配置nginx


    server {
        listen       8080;
        server_name  192.168.1.162;

	    add_header Content-Security-Policy "default-src 'self' 192.168.1.162:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;";
	
	    add_header X-XSS-Protection "1; mode=block";

        if ($query_string ~* (\$|'|--|[+|(%20)]union[+|(%20)]|[+|(%20)]insert[+|(%20)]|[+|(%20)]drop[+|(%20)]|[+|(%20)]truncate[+|(%20)]|[+|(%20)]update[+|(%20)]|[+|(%20)]from[+|(%20)]|[+|(%20)]grant[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]where[+|(%20)]|[+|(%20)]select[+|(%20)]|[+|(%20)]and[+|(%20)]|[+|(%20)]or[+|(%20)]|[+|(%20)]count[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]chr[+|(%20)]|[+|(%20)]mid[+|(%20)]|[+|(%20)]like[+|(%20)]|[+|(%20)]iframe[+|(%20)]|[\<|%3c]script[\>|%3e]|javascript|alert|webscan|dbappsecurity|style|confirm\(|innerhtml|innertext)(.*)$) { return 555; }
			if ($uri ~* (/~).*) { return 501; }
			if ($uri ~* (\\x.)) { return 501; }
			if ($query_string ~* "[;'<>].*") { return 509; }
			if ($request_uri ~ " ") { return 509; }
			if ($request_uri ~ (\/\.+)) { return 509; }
			if ($request_uri ~ (\.+\/)) { return 509; }
			if ($uri ~* (insert|select|delete|update|count|master|truncate|declare|exec|\*|\')(.*)$ ) { return 503; }

测试:在程序访问的url中加入js脚本标签

cs95T6
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS脚本攻击
01-27
脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。XSS攻击的危害包括:1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力3、盗窃企业重要的具
xss漏洞的修复建议/方法
热门推荐
小雨的博客
05-10 1万+
1. html encoding 脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
XSS 存储漏洞修复
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储型漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
全局存储型XSS漏洞修复
大白菜鸟的博客
12-23 2483
什么是XSS? 人们经常将脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将脚本攻击缩写为XSS脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执...
【奇安信安全漏洞XSS漏洞/重定向漏洞解决及产生分析!
weixin_47898697的博客
06-26 2397
解决基于DOM的XSS漏洞方法,详细讲解
XSS脚本攻击解决办法
surpassone的专栏
09-14 873
脚本攻击首先先知道什么是脚本攻击。 脚本攻击(Cross Site Scripting)是指攻击者利用网程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,脚本攻击通常简写为XSS。 详解
奇安信扫描文件下载功能的存储型XSS漏洞修复
qq_43599841的博客
11-16 544
文件流相关的存储型XSS漏洞修复
XSS脚本攻击漏洞解决
各自安好、的博客
08-19 1141
XSS(脚本)攻击分类 存储型 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie 反射型 非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面 DOM型XSS 不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞
XSS脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
XSS脚本攻击剖析与防御
04-28
第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全意识。第5章 XSS Worm,讲解了Web 2.0的最大威胁——脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和...
XSS脚本攻击剖析与防御.pdf
05-16
第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全意识。第5章 XSS Worm,讲解了Web 2.0的最大威胁——脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和...
xss漏洞】存储型XSS漏洞修复
weixin_43526443的博客
05-03 5439
一、简单的测试 输入框输入<script>alert(document.cookie)</script> 得到结果,存在较为严重的存储型XSS漏洞 二、代码分析      2.1 输入处理代码分析 $message=escape($link, $message); $query="insert into messa...
Web系统常见漏洞修复
Desiy的博客
09-12 1140
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。正好我所在企业中的交付团队遇到了这种情况,我将最后我们团队针对一些漏洞的修复代码分享出来供大家参考,方便未来自己修复同样的漏洞,当然漏洞的种类不是很全,我会在以后遇到其他类型时及时更新。
奇安信Python反射型XSS解决办法-2021.12.17
xiuxiuxiu666的博客
12-17 2051
项目上线需要通过奇安信代码扫描,在网络上没有找到Python的具体解决办法,参考别人的博客试了一下,通过了代码测试 缺陷的详细信息为: 应用程序通过web请求获取不可信的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了web用户,应用程序将容易受到反射型xss攻击。 示例: name = request.GET['name'] return 'username:'+name 如果name里包含恶意代码,那么web浏览器就会执行该代码,应用程序将受到反射型xss攻击。 修复建议: 1.输入验证(比
web ---- 存储型 XSS
L0g1c的博客
07-23 1689
Js操纵的主体是浏览器,窃取的当然是浏览器的Cookie,所以有XSS的地方,你如果抓包改Cookie去访问,XSS是吃不到你修改过的Cookie,其实你访问的时候抓包就可以看到,第一次访问正常页面,第二次会GET传参访问XSS平台。以前也搭建过XSS平台,其实后台可以看到所有用户的Cookie,当你用了别人的XSS平台其实就要注意信息泄露这个问题,而且访问XSS平台和XSS页面建议使用无痕,天知道,他们会不会在脚本里面做手脚。...
解决存储型xss和sql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2601
解决存储型xss和sql注入漏洞,创建对应的全局过滤器。
XSS实战漏洞挖掘
最新发布
hmysn的博客
05-11 630
接下来一年时间将会主要研究渗透测试方向的众多问题,文章中的内容也会在后面定期更新。本文主要记录了一些XSS漏洞挖掘中的实用心得和学习笔记。
xss 脚本攻击漏洞
08-29
脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网中注入恶意代码,并在用户浏览器上执行。这种攻击通常发生在存在输入输出的网页应用程序中。 XSS攻击主要分为三种类型: 1. 存储型XSS:攻击者将恶意代码存储在目标网的数据库中,当其他用户访问该网时,恶意代码被返回并在用户浏览器中执行。 2. 反射型XSS:攻击者构造一个包含恶意代码的URL,并将其发送给目标用户。用户点击链接后,恶意代码从URL中获取并在用户浏览器上执行。 3. DOM-based XSS:攻击者通过修改网页的DOM结构来执行恶意代码,不需要向服务器发送请求。这种类型的XSS攻击主要基于客户端脚本和DOM文档对象模型。 为了防止XSS攻击,开发人员可以采取以下几种措施: 1. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保不允许包含恶意代码。 2. 输出编码:在将数据输出到网页上时,使用适当的编码方式(如HTML实体编码或JavaScript转义)来防止恶意代码的执行。 3. 使用安全的API:避免使用不安全的API,特别是将用户输入作为参数的API。例如,使用textContent替代innerHTML可以防止XSS攻击。 4. 设置HTTP头部:通过设置X-XSS-Protection和Content-Security-Policy头部,可以进一步加强网的安全性。 请注意,这只是一些常见的防御措施,具体的应对措施还需要根据实际情况和开发框架来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值