预防XSS攻击需要注意的地方。

最新推荐文章于 2023-11-05 21:04:14 发布
最新推荐文章于 2023-11-05 21:04:14 发布
阅读量470 收藏
点赞数
分类专栏: Javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fhzaitian/article/details/59475892
版权

(1)无论是客户端,还是服务器端,都需要对输入输出的内容做过滤,或用转码的方式,或者用其他方式,不过,转码方式按道理说更好,因为无论什么XSS攻击命令,到你这里一律变成编码,命令功能失效。输入部分,比如说你文本框、输入框、URL跳转等等。服务器输出也需要做过滤,因为很多服务器里数据的输入并不都经过了输入过滤,如一些拷贝、数据批量导入导出等等,这些未经过滤的输入,都有可能导致那些坏东西混入服务器数据里。这叫啥攻击我忘了,反正是二次攻击,先存进你的数据库,然后利用它再攻击!

很多MVC框架都已经处理了这些内容,如angularJS

(2)JS文件中某些函数竟然含有执行自由命令的函数,这让人大吃一惊,留这样的口是非常危险的。我感觉,对于一些不算复杂的业务系统来说,还是尽量不要写这样的框架。

一些输入命令就能执行很多操作的软件,我们用的太多了,dos命令、一些特殊的http请求,这些都含有类似后门一样的命令,首先把他们关掉。

(3)密码不能明文编辑

当你的界面上写有password属性,尽管这是必须的字段,但是尽量不要用这样的名字,只需要将请求的头文件加密传输即可,混用。

(4)JS漏洞:密码作为GET请求的一部分进行提交。

html文件中的表单将密码作为HTTP GET 请求的一部分进行提交,这可能会造成密码被显示、记录或存储在浏览器缓存中。不要这样写,至少需要加密用post方法传输。再安全的就是https请求。

(5)JS漏洞:密码框启用浏览器自动完成功能。

密码框禁用浏览器自动完成功能,autocomplete="off"。

(6)页面跳转时,这样写,window.location.href= window.location.href + “....”这样写太容易添加攻击代码,慎用啊!

浪漫鼠
关注
专栏目录
什么是跨站脚本 (XSS) 攻击?
简介
01-04 2028
这一次,教会xss攻击!!!!!!!
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7133
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
XSS安全测试需要注意的几个漏洞
guigui578826243的专栏
05-07 637
XSS   XSS全称Cross Site Scripting,中文叫跨站脚本,起因是外部输入被浏览器当作脚本来执行。按照漏洞触发点的不同,分为3类: 1.存储型XSS   2.反射型XSS   3.DOM型XSS。   ● URL Open Redirect   顾名思义,没有限制跳转目标的URL Redirect就是Open URL Redirect。
【转】XSS的两种攻击方式及五种防御方式
最新发布
tpriwwq的专栏
11-05 4250
XSS攻击介绍及防御方法
如何正确防御xss攻击
RobertXin
12-10 1141
XSS:Cross Site Script,本来简写是css,但为了区别样式表的css,因此在安全领域叫XSS”。 XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。   一、HttpOnly防止劫取Cookie HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问...
前端安全 — XSS攻击的分类、XSS攻击预防
csdssdn的博客
04-13 1612
目录 什么是XSS XSS分类 存储型XSS 存储型XSS的攻击步骤: 反射型XSS 反射型XSS的攻击步骤: DOM型XSS DOM型XSS的攻击步骤: XSS攻击预防 输入过滤 预防存储型和反射型XSS攻击 纯前端渲染 转义HTML XSS攻击的总结 以下原则减少漏洞的产生: 利用模板引擎: 避色内联重件 避免拼接HTML 时刻保持警惕 主动检测和发现 什么是XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是-种代码注.
XSS攻击及防御总结和各平台通关思路
qq_43710889的博客
08-05 3516
XSS原理 跨站脚本攻击XSS(cross site scripting)。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采用cookie窃取、会话劫持、钓鱼欺骗等各种攻击。 漏洞存在的主要原因: 参数输入未经过安全过滤 恶意脚本被输出到网页 用户的浏览器执行了恶意脚本 XSS漏洞分类 1.反射型XSS 也称非持久型、参数型跨站脚本。主要用于恶意脚本附加在URL地址的参数中。他需要欺骗
XSS的攻击原理与防御原理
小晓晓晓林的博客
08-22 3528
xss又称跨站脚本攻击,原称为css(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以又称为xss(x一般有未知的含义,还有扩展的含义)。 XSS的攻击原理 xss攻击涉及到了攻击者,用户和web server。主要是利用了网站本身设计的不严谨性,攻击者通过对网页插入恶意的攻击脚本,导致当用户在浏览网页的时候,嵌入其中的攻击脚...
懂你网络系列9之网络安全中的XSS攻击
mt811的博客
05-28 916
一.简介 通过系列8中同源的策略我们知道,由于其非绝对性,能通过在页面嵌入跨域资源,通过cors来来允许跨源访问和通过js中的API来实现跨文档消息机制,这些机制同时带了很多安全问题。 当页面被注入了恶意 JavaScript 脚本时,浏览器无法区分这些脚本是被恶意注入的还是正 常的页面内容,所以恶意注入 JavaScript 脚本也拥有所有的脚本权限。 这其中最典型的就是XSS(Cross-site scripting,XSS)攻击了,为了与“CSS”区分开来,故简称 XSS,翻译过来就 是“跨站
如何防止XSS攻击
qq_36752945的博客
07-20 7730
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
XSS攻击常识及常见的XSS攻击脚本汇总
撸小鱼&奥术猫
04-12 4030
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 二、XSS分类 XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS 1、反射型XSS 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内...
什么是XSS攻击?如何防范XSS攻击
热门推荐
_筱殇的博客
11-28 4万+
        XSS攻击又称CSS,全称Cross Site Script  (跨站脚本攻击),其原理是攻击者向有XSS漏洞的网站中输入恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。XSS 攻击类似于 SQL 注入攻击,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览...
SpringBoot 如何防护XSS攻击 ??
爱追剧晓三鲜的博客
12-23 7314
SpringBoot 如何防护XSS攻击 ??一、前言1.1、XSS攻击流程1.2、XSS攻击分类1.3、攻击方式二、解决方案2.1、Springboot XSS过滤插件(mica-xss)2.2、mica-xss 配置三、项目实战3.1、项目环境3.2、测试3.2.1、测试GET请求3.2.2、测试POST请求3.2.2.1、测试POST请求(XSS代码放在URL上)3.2.2.2、测试POST请求(XSS代码放在 Body 中)四、mica-xss 原理剖析4.1、mica-xss 源码 一、前言 XS
如何让前端更安全?——XSS攻击和防御详解
wf2017的博客
02-17 1万+
web安全学习
如何预防 XSS 攻击?
彳亍
09-04 4109
简介XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。 原理是攻击者往 web 页面里插入恶意的脚本代码(CSS代码、JavaScript代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。如盗取用户cookie,破坏页面结构、重定向到其他网站等。理论上来说,web 页面中所有可由用户输入的地方,如果没有对输...
如何有效预防XSS?这几招管用
日拱一兵
06-30 7535
原文链接 预防XSS,这几招管用 最近重温了一下「黑客帝国」系列电影,一攻一防实属精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩 大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很...
uniapp预防 XSS 攻击
04-28
Uniapp预防XSS攻击的方法有以下几种: 1. 对用户输入数据进行过滤和转义,比如使用encodeURIComponent()函数对URL参数进行编码,使用innerHTML()函数对HTML标签进行过滤。 2. 对于需要用户输入HTML代码的场景,可以使用第三方库,如DOMPurify或sanitize-html等,来过滤和清除不必要的标签和属性。 3. 使用CSP(Content Security Policy)机制,限制页面加载资源的来源,以防止恶意脚本的注入和执行。 4. 在前端和后端都进行安全检查,避免用户输入的数据被插入到SQL语句或者其他命令中,造成注入攻击。 5. 对于需要用户上传文件的场景,要设置文件类型和大小的限制,避免上传恶意文件。同时,在后端也要对上传的文件进行安全检查,避免文件包含恶意代码。 综上所述,Uniapp预防XSS攻击需要综合采用多种方法,包括对用户输入数据进行过滤和转义、使用第三方库进行HTML标签过滤、使用CSP机制、前后端安全检查等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值