【网安自学】XSS漏洞防御

最新推荐文章于 2024-04-06 07:51:27 发布
最新推荐文章于 2024-04-06 07:51:27 发布
阅读量1.2k 收藏
点赞数
分类专栏: 网络安全 文章标签: web安全 xss java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dmhy123/article/details/126797924
版权

一.XSS漏洞的产生很大原因是:程序没有经过过滤或者过滤的敏感字符不严密就直接输出或写入数据库,导致一些别有用心的人通过构造巧妙的脚本恶意代码来实施攻击。

二.根据漏洞产生的原因,防御XSS漏洞的方法就是对敏感字符进行转义和过滤

方法一:htmlspecialchars函数

格式:string htmlspecialchars(string $string, int $quote_style, string $charset);

三个参数的意义:

$string                

转换对象字符串

$quote_style       

转换方法(ENT_NOQUOTES,ENT_COMPAT,ENT_QUOTES) 

$charset              

字符编码。例如:UTF-8、GBK

三种转换方法:

ENT_COMPAT

 默认。仅编码双引号。

ENT_QUOTES

 编码双引号和单引号。

ENT_NOQUOTES

 不编码任何引号。

实例一:没有任何基本防御

进行防御:

将注入的代码进行了转义,使其失去了效果

实例二:对<script>和</script>进行了过滤,没什么用,大小写组合直接绕过

进行防御:

实例三:对大小写都进行了过滤,并没有什么用,可以通过<img src=1 οnerrοr=alert("xss")>绕过

进行防御

实例四:使用img就可以绕过

进行防御:

实例五:可以使用confirm,prompt标签进行弹窗

进行防御:

实例六:可以使用a"; alert($a);$a="绕过

进行防御:

实例七:和实例六差不多,有htmlentities进行转义,但是却没有对 '(单引号进行转义)

构造payload:a';alert($a);$a='  可以绕过

进行防御:

实例八:

进行防御

/"οnsubmit=javascript:alert(1)%20name="

防御cookie泄露(开启Http-only)

1.对于session

(未开启)---->(开启):ini_set("session.cookie_httponly",1);

2.对于cookie,把setcookie的第七个参数设置为true

保证四个小时充足睡眠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
如何防止XSS漏洞
zyn8823533的博客
02-14 2059
XSS(跨站脚本攻击)是一种攻击方式,攻击者通过注入恶意脚本代码,使得网站上的其他用户在浏览该网站时执行这些脚本代码,从而达到攻击的目的。CSP(内容安全策略):CSP可以限制浏览器中可以执行的代码,通过设置CSP策略,可以限制只允许加载来自特定域名的资源,防止恶意脚本的注入。安全编码:在编写代码时,要使用安全的编码方式,例如对于用户输入的内容,使用htmlentities等转义函数进行处理。需要注意的是,以上方法并不是单独使用的,而是要结合使用,才能有效地防止XSS漏洞
XSS攻击及防御(简单易懂)
liu_chenglong的博客
11-10 6913
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
XSS漏洞类型原理及防御方式_三种xss漏洞防御(1),三面蚂蚁核心金融部
最新发布
m0_61549591的博客
04-06 562
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
最全的XSS漏洞攻防
qq_53530934的博客
12-17 961
XSS漏洞攻防/pikachu靶场XSS破解
JavaScript:评论框防御XSS攻击函数
qq_41145685的博客
08-13 531
评论框防御XSS攻击函数 1、评论框防止标签评论的恶意攻击 解决方法将输入框的内容替换,实现评论框内输入标签,失其失效防止标签插入到数据。对页面造成影响 function encode(str) { // 转义过滤 if (!str || str.length === 0) return ''; str = str.replace(/>/gm, '&gt;'); str = str.replace(/</gm, '&lt;'); str = str
跨站脚本攻击漏洞XSS):基础知识和防御策略
weixin_43263566的博客
01-16 7793
跨站脚本攻击漏洞-基础篇
基于Fuzzing技术提升XSS漏洞防御水平的研究
01-27
面对高交互性、高复杂性的网络操作过程,有效提升对XSS漏洞的检测、防御能力有利于提高Web安全。本文提出了一种主动提升对XSS漏洞的检测与防御能力的方法,该方法通过网络爬虫爬取Web交互页面,结合XSS漏洞的特征,...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
渗透测试 漏洞xss payload大全
12-04
8k加语句,一次插个爽
xss漏洞攻防
mackilo的博客
12-20 8801
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
XSS漏洞原理及防御方式
GL的博客
03-07 4099
XSS漏洞 Cross Sitescript跨站脚本攻击,客户端脚本安全中的头号大敌 XSS攻击:(需要具备两个条件) 1、需要向WEB页面注入恶意代码 2、这些恶意代码能够被浏览器成功执行 XSS攻击类型: 1、反射攻击 用户输入的数据反射给浏览器,这个数据可能是Html代码或者Js代码,反射给浏览器去执行 2、存储型攻击 用户把输入的数据(比较恶意的JS代码)储存在服务器端,具有很强的稳定性,危害时间长 XSS危害: 1、 劫持Cookie,cookie一般保存了用户
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 2676
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
浅谈XSS漏洞原理及防御措施
m0_74131821的博客
04-04 1155
形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害
XSS漏洞原理及防范措施
看着博客敲代码
06-05 1609
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,允许攻击者在受害者浏览网站时,通过注入恶意脚本(如JavaScript)到网页中,从而窃取用户敏感信息、篡改页面内容或进行其他恶意行为。
XSS漏洞类型原理及防御方式
weixin_54786196的博客
10-15 499
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 2208
XSS攻击介绍及防御方法
XSS漏洞防御的方法。
06-03
XSS(跨站脚本攻击)是常见的Web安全漏洞之一,攻击者可以通过在网页中插入恶意脚本来攻击用户。为了防范XSS攻击,可以采取以下一些措施: 1.输入过滤:对于用户输入的数据进行过滤,过滤掉HTML标签和JavaScript代码。 2.输出编码:对于输出到页面的内容,使用HTML Entity编码或JavaScript编码来防止脚本执行。 3.HTTPOnly Cookie:在设置Cookie时,使用HTTPOnly属性,防止JavaScript脚本获取Cookie信息。 4.使用CSP:Content Security Policy是一种安全策略,可以限制哪些资源可以加载到页面中,从而防止XSS攻击。 5.使用验证码:对于需要用户输入的敏感操作,可以采用验证码来防止自动化攻击。 6.安全开发:在开发过程中,要注意安全编码规范,避免出现安全漏洞,比如避免使用eval()和innerHTML等函数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值