学习 xss

最新推荐文章于 2023-06-12 14:41:37 发布
VIP文章 最新推荐文章于 2023-06-12 14:41:37 发布
阅读量2.3k 收藏
点赞数
分类专栏: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuidiwhere/article/details/25006593
版权

前记

    web应用基于webx3框架,前端页面用velocity。在日常环境部署时,安全检测结果有css漏洞,并给出了解决方案。


1. XSS是什么? 

        XSS是 CrossSite Scripting的缩写,中文名称为跨站脚本攻击。

2. 如何实现XSS? 

        XSS是攻击者在Response中加入恶意脚本,脚本会在浏览器中执行,导致用户重要信息泄露。例如在服务器端的Screen java类里添加:

    Code_1: context.put("css","<script> alert(\"My FirstJavaScript\");</script>");

那么浏览器就会执行这段js脚本,  弹出一个alert对话框


3. 如何防止XSS?

       Webx3.0框架对XSS攻击有很好的解决方案。在webx*.xml配置文件里,默认情况下对所有htm文件进行转义,只有在noescape里配置的不转义。 例如




                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  cuidiwhere
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
基于机器学习建模的 XSS 攻击防范检测.docx

				
			

			

				

					05-21
				

			

		

		

			
				
基于机器学习建模的 XSS 攻击防范检测.docx

			
		

	



                

              
                



	

		

			

				
					
入门学习XSS漏洞,这一篇就够了

				
			

			

				

					大河之犬的博客
				

				

					11-02
					
					963
					
				

			

		

		

			
				
XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字却一直保留下来。那么,什么是XSS呢?

			
		

	



                


  
              

                


	

		

			

				
					
网络安全-XSS跨站脚本攻击

				
			

			

				

					码农成长记
				

				

					10-31
					
					1031
					
				

			

		

		

			
				
1. XSS攻击原理

XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其

			
		

	





	

		

			

				
					
@SkipValidation注解

				
			

			

				

					苏苏爱自由
				

				

					12-02
					
					3330
					
				

			

		

		

			
				
使用struct框架写一个小东西 ,在UsersAction中有两个方法,login,logout。使用validate方法进行验证时发现报错


 No result defined for action com.scx.action.UsersAction and result input

原来validate会验证UserAction中所有的方法,我们需要在logout方法上添加

			
		

	



		

			
		



	

		

			

				
					
XSS学习

				
			

			

				

					一个普普通通的博客
				

				

					04-18
					
					1072
					
				

			

		

		

			
				
XSS

			
		

	





	

		

			

				
					
SpringBoot防御Xss攻击 Filter方式实现

				
			

			

				

					hk1909的博客
				

				

					12-29
					
					626
					
				

			

		

		

			
				
springboot防御XSS 过滤标签 亲测有用

			
		

	





	

		

			

				
					
XSSPlayground:一个简单的学习XSS的地方

				
			

			

				

					03-25
				

			

		

		

			
				
 一个简单的学习XSS的地方。 专为自己学习和帮助他人而设计(请使用!) 免责声明 这是一项正在进行中的作品,会随着时间的推移而变化。 了解您能做到的! 更新 15/03/2021-添加了新的布局,重新设计了xss 1,2,3。 ...

			
		

	





	

		

			

				
					
XSS学习大全

				
			

			

				

					05-02
				

			

		

		

			
				
XSS学习大全,攻防入门,轻松上手,简单易学,推荐下载

			
		

	





	

		

			

				
					
Xss学习研究平台源码.zip

				
			

			

				

					05-12
				

			

		

		

			
				
Xss学习研究平台源码.zip

			
		

	





	

		

			

				
					
常见WEB漏洞学习整理-XSS

				
			

			

				

					06-11
				

			

		

		

			
				
常见WEB漏洞学习整理-XSS

			
		

	





	

		

			

				
					
【干货】XSS知识总结

				
			

			

				

					hackzkaq的博客
				

				

					10-27
					
					6590
					
				

			

		

		

			
				
XSS基础
跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至

			
		

	





	

		

			

				
					
网络安全零基础之从原理看懂的XSS

				
			

			

				

					jazzz98的博客
				

				

					06-12
					
					476
					
				

			

		

		

			
				
跨站脚本攻击 XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆

			
		

	





	

		

			

				
					
程科学习xss

				
			

			

				

					m0_58453883的博客
				

				

					02-16
					
					2872
					
				

			

		

		

			
				
1、XSS 介绍及分类
1.1XSS 漏洞介绍

XSS又称为跨站脚本攻击,XSS的重点不在于跨站点,而是在于脚本的执行,是一种经常出现在Web应用程序中的计算机安全漏洞,是Web应用程序对用户的输入、输出过滤不足而产生的,它允许攻击者将代码植入到提供给其它用户使用的页面中。

xss可以理解为一种注入。

注入,简单理解 就是 用户输入的数据,被插入到了前端页面当中(虽然有点抽象,但理解就行)

总结也就是 用户输入的数据,被当作了前端代码进行执行。



1.2反射型xss

反射型跨站脚本(Refle

			
		

	





	

		

			

				
					
xss学习

				
			

			

				

					weixin_63231007的博客
				

				

					04-29
					
					2201
					
				

			

		

		

			
				
反射性xss

传入<script>alert("xss")</script>,会弹出一个xss弹框。

这个弹框是无害的,但如果做的是别的事情,就有害了。



存储型xss

输入留言name:1111

Message : <script>alert("xss")</script>



之后这个网站就被挂了一个非常简单的🐎,之后任何人访问这个网站,都会执行这个xss脚本

这个链接被发送给其他人之后,他们一点击,就会执行这个脚本。被人引诱点击之后就..

			
		

	





	

		

			

				
					
velocity 如何使用webx3+velocity显示html格式数据 转义尖括号

				
			

			

				

					Code-lover's Learning Notes
				

				

					08-10
					
					4086
					
				

			

		

		

			
				
1、首先在webx3的webx-component-and-root.xml文件中进行配置,一般默认是已经配置好的,查看要是没有的话,再进行配置,如下:<!-- Template渲染服务。 -->
<services:template xmlns='http://www.alibaba.com/schema/services/template/engines'
searchExtensions='t

			
		

	





	

		

			

				
					
FreeMarker

				
			

			

				

					爱java,爱生活
				

				

					02-21
					
					482
					
				

			

		

		

			
				
一、FreeMarker模板文件主要有4个部分组成  1、文本,直接输出的部分  2、注释,即&lt;#--...--&gt;格式不会输出  3、插值(Interpolation):即${..}或者#{..}格式的部分,将使用数据模型中的部分替代输出  4、FTL指令:FreeMarker指令,和HTML标记类似,名字前加#予以区分,不会输出。    FTL指令规则    FreeMarker有三...

			
		

	





	

		

			

				
					
velocity转义小问题

				
			

			

				

					Kevin.yang专栏
				

				

					12-12
					
					6598
					
				

			

		

		

			
				
问题描述velocity中设置如下,而$!{users}输出默认进行html转义,users为后端一个List对象 var USERS = '$!{users}';user对象如下: public class User{
  private String name;
  private int age;
  private String department;  public String getN

			
		

	





	

		

			

				
					
XSS学习实践全过程!

				
			

			

				

					jklbnm12的博客
				

				

					09-16
					
					3592
					
				

			

		

		

			
				
一:什么是XSS攻击?
XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。
二:简单的工具

			
		

	





	

		

			

				
					
防止SpringMVC注解方式的XSS攻击的方法

					
热门推荐

				
			

			

				

					Angevin的博客
				

				

					01-03
					
					1万+
					
				

			

		

		

			
				
本最近项目遇到了一个问题,就是XSS攻击问题,搜索了很多资料。最终实现了符合当前项目的方式:




环境概述
    由于,本项目中全部采用的是注入方式,就是没有web.xml的方式,所以和网上找到的在web.xml中配置过滤器方式对我现在的项目并不适用。并且,项目是前后端分离的,也就是前端和后端是完全分开部署的。项目特征是前端传递json类型数据到后端接口,后端接口以

publi

			
		

	





	

		

			

				
					
XSS-MASTER

					
最新发布

				
			

			

				

					07-27
				

			

		

		

			
				
搭建XSS平台的原因是为了深入学习XSS相关知识并进行实践。作者在搭建XSS平台时发现市面上的XSS平台不够安全,因为敏感信息需要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性。因此,作者决定自行搭建...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值