跨站点脚本(xss)_保护您的应用程序免受跨站点脚本(XSS)攻击

最新推荐文章于 2024-06-30 00:00:00 发布
最新推荐文章于 2024-06-30 00:00:00 发布
阅读量275 收藏
点赞数
文章标签: 字符串 java xss python web
原文链接:https://www.ibm.com/developerworks/java/library/se-prevent-cross-site-scripting-attacks/index.html
版权
自己尝试!

尝试图标
在此交互式教程中,您可以运行代码,尝试对其进行更改,然后再次运行并查看结果。

跨站点脚本攻击的最常见技术之一是将恶意代码注入网页。 本简短教程中的代码片段向您展示了如何使用转义序列,以使任何注入的代码都无法运行。

注意:本教程是Usha Ladkani的developerWorks教程的缩写版,“ 通过对HTML响应进行编码来防止跨站点脚本攻击 ”。 有关更多详细信息,请参见该教程。

跨站点脚本攻击如何工作

在跨站点脚本(XSS)攻击中,攻击者将恶意代码注入到合法的网页中,然后该网页运行客户端脚本。 当用户访问受感染的网页时,该脚本将下载到用户的浏览器中。

假设攻击者将此HTML字符串注入网页: 

<script>alert("You've been attacked!")</script>

当浏览器加载网页时,它将运行脚本作为呈现页面的一部分。 在这种情况下,脚本将运行,并且用户会看到一个弹出警报,提示“您已受到攻击!”。

您的辩护:在服务器端Java™应用程序的变量中编码HTML

为了确保不会将恶意脚本代码注入到您的页面中,最好的防线是在所有变量字符串显示在页面上之前对其进行编码。 编码仅意味着将每个潜在危险的字符转换为HTML实体。

转义后,上面HTML字符串将如下所示:

清单1.转义HTML 
&lt;script&gt;alert(&quot;You&apos;ve been attacked!&quot;)&lt;/script&gt;

轮到你! 尝试更改清单1中的代码

尝试图标
单击“运行”按原样执行代码。 您应该看到与清单1相同的输出。然后更改变量unescapedText以查看会发生什么。 (请记住,您需要使用反斜杠转义所有双引号: \" )。
显示结果

摘要

跨站点脚本编写仍然是攻击用户计算机的最常用方法之一。 但是,您可以在很大程度上阻止攻击者使用恶意代码感染Web应用程序的能力。 在编写应用程序时,请确保将所有变量输出编码到页面中,然后再将其发送到用户的浏览器。

还有一件事

请注意,Java String.toCharArray()方法将破坏包含表情符号和其他特殊字符的字符串。 如果您真的想深入了解此主题,请先阅读Unicode Basic Multilingual Plane上的Wikipedia文章

翻译自: https://www.ibm.com/developerworks/java/library/se-prevent-cross-site-scripting-attacks/index.html

cusi77914
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是脚本XSS攻击
简介
01-04 1977
这一次,教会xss攻击!!!!!!!
html注入攻击脚本,脚本攻击XSS
weixin_39888180的博客
06-23 1854
脚本攻击(XSS)是一种客户端代码注入攻击攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
脚本攻击xss_脚本
cusi77914的博客
07-03 720
如今,大多数网站都在网页上添加了动态内容,使用户的体验更加愉悦。 动态内容是由某些服务器进程生成的内容,该内容在交付时可以根据用户的设置和需求表现并向用户显示不同的内容。 动态网站具有静态网站所没有的威胁,称为“站点脚本编制”,也称为“ XSS”。 “网页包含服务器生成并由客户端浏览器解释的文本和HTML标记。仅生成静态页面的网站能够完全控制浏览器用户如何解释这些页面。生成动态网站的网站...
了解站点脚本 (XSS) 漏洞
最新发布
aihua002的博客
06-30 528
站点脚本 (XSS) 是网络上持续存在的安全威胁,被 Web 应用程序安全项目 (OWASP) 列为十大风险之一。尽管 XSS 是一种老技术,但它仍然困扰着网站,对用户数据和系统完整性构成严重风险。
XSS脚本漏洞详解
m0_64583632的博客
02-01 727
xss脚本攻击详解
XSS(脚本攻击)
qq_26054303的博客
04-26 1013
XSS攻击脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSSXSS攻击分为几种: 1.反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。 例如:http://localho
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss脚本攻击的知识点总结: 1.xss脚本攻击的定义 ...
xss站点脚本编制漏洞/antisamy策略过滤
09-07
XSS站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
XSS脚本攻击
01-27
脚本攻击XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
PHP、Apache环境中部署xsslabs(XSS脚本攻击靶场)
01-08
* XSS脚本攻击XSS是指攻击者在网站上注入恶意脚本, 当用户访问该网站时,恶意脚本就会被执行,从而达到攻击者的目的。 * xsslabs:xsslabs是一款开源的XSS 漏洞靶场工具,由PHP代码编写而成,提供了多种XSS...
站点请求伪造保护
little_monkey1223的博客
08-05 1754
站点请求伪造保护的方法
XSS脚本攻击)学习 01
weixin_42280053的博客
03-14 261
1.什么是脚本攻击? 脚本( Cross-site Scripting )攻击,攻击者通过网站注入点注入客户端可执行解析的payload (脚本代码),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的(窃取cookie、恶意传播、钓鱼欺骗等)。为了避免与HTML语言中的CSS相混淆,通常称它为"XSS"。 2.危害? 获取用户信息;(如浏览器信息、ip地址、cookie信息等) 钓鱼; (利用xss漏洞构造出一个登录框,骗取用户账户密码,提示登录过期,模拟一个网站的登录框,将用
什么是脚本 (XSS)?
allway2的博客
07-18 2857
在最初的日子里,它被称为CSS,但它并不完全是今天的样子。当时它被称为CSS(站点脚本)。当网站在将其插入响应之前没有正确处理用户提供给它的输入时,就会出现XSSed的可能性。在这种情况下,可以提供精心制作的输入,当嵌入响应时充当JS代码块并由浏览器执行。站点脚本(XSS)是Web应用程序中的一个漏洞,它允许第三方代表Web应用程序在用户的浏览器中执行脚本。,它的实例要么被反射,要么被存储。当用户提供的数据未经适当清理而提供给DOM对象时,就会出现基于DOM的XSS。...
XSS 站点脚本漏洞详解
一个努力学习网安的小牛马
11-09 347
xss攻击手法以及绕过防御
站点脚本xss)解析(三)利用xss漏洞
weixin_34236497的博客
09-28 152
2019独角兽企业重金招聘Python工程师标准>>> ...
【Web漏洞探索】脚本漏洞
kjcxmx的博客
08-03 3978
脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 9799
脚本攻击漏洞-基础篇
如何防止站点脚本攻击
大明的博客
08-21 2148
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免脚本,浏
XSS脚本攻击详解与防御策略
"该资源主要介绍了XSS脚本攻击的相关知识,包括攻击的定义、类型、漏洞挖掘以及防范措施。此外,还探讨了Web安全的三个主要目标:保护Web服务器及其数据的安全、保护信息传递的安全以及保护终端用户设备的安全。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值