XSS攻击解决方案(跨网站脚本攻击)

最新推荐文章于 2024-05-11 17:47:54 发布
最新推荐文章于 2024-05-11 17:47:54 发布
阅读量830 收藏 4
点赞数
分类专栏: 网站安全与防御 文章标签: 网站安全与防御 xss攻击 脚本注入

概述

XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌;

攻击的条件

实施XSS攻击需要具备两个条件:

一、需要向web页面注入恶意代码;

二、这些恶意代码能够被浏览器成功的执行。

解决方法

就是将请求可能会发送的特殊字符、javascript标签转换为html代码执行

例如在表单中注入: <script>location.href='http://www.itmayiedu.com'</script>

注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器

方法1、是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码

import java.net.URLEncoder;

/**
 * 过滤非法字符工具类
 * 
 */
public class EncodeFilter {

    //过滤大部分html字符
    public static String encode(String input) {
        if (input == null) {
            return input;
        }
        StringBuilder sb = new StringBuilder(input.length());
        for (int i = 0, c = input.length(); i < c; i++) {
            char ch = input.charAt(i);
            switch (ch) {
                case '&': sb.append("&amp;");
                    break;
                case '<': sb.append("&lt;");
                    break;
                case '>': sb.append("&gt;");
                    break;
                case '"': sb.append("&quot;");
                    break;
                case '\'': sb.append("&#x27;");
                    break;
                case '/': sb.append("&#x2F;");
                    break;
                default: sb.append(ch);
            }
        }
        return sb.toString();
    }

    //js端过滤
    public static String encodeForJS(String input) {
        if (input == null) {
            return input;
        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {
            char ch = input.charAt(i);

            // do not encode alphanumeric characters and ',' '.' '_'
            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||
                    ch >= '0' && ch <= '9' ||
                    ch == ',' || ch == '.' || ch == '_') {
                sb.append(ch);
            } else {
                String temp = Integer.toHexString(ch);

                // encode up to 256 with \\xHH
                if (ch < 256) {
                    sb.append('\\').append('x');
                    if (temp.length() == 1) {
                        sb.append('0');
                    }
                    sb.append(temp.toLowerCase());

                // otherwise encode with \\uHHHH
                } else {
                    sb.append('\\').append('u');
                    for (int j = 0, d = 4 - temp.length(); j < d; j ++) {
                        sb.append('0');
                    }
                    sb.append(temp.toUpperCase());
                }
            }
        }

        return sb.toString();
    }

    /**
     * css非法字符过滤
     * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters
    */
    public static String encodeForCSS(String input) {
        if (input == null) {
            return input;
        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {
            char ch = input.charAt(i);

            // check for alphanumeric characters
            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||
                    ch >= '0' && ch <= '9') {
                sb.append(ch);
            } else {
                // return the hex and end in whitespace to terminate
                sb.append('\\').append(Integer.toHexString(ch)).append(' ');
            }
        }
        return sb.toString();
    }

    /**
     * URL参数编码 
     * http://en.wikipedia.org/wiki/Percent-encoding
     */ 
    public static String encodeURIComponent(String input) {
        return encodeURIComponent(input, "utf-8");
    }

    public static String encodeURIComponent(String input, String encoding) {
        if (input == null) {
            return input;
        }
        String result;
        try {
            result = URLEncoder.encode(input, encoding);
        } catch (Exception e) {
            result = "";
        }
        return result;
    }

    public static boolean isValidURL(String input) {
        if (input == null || input.length() < 8) {
            return false;
        }
        char ch0 = input.charAt(0);
        if (ch0 == 'h') {
            if (input.charAt(1) == 't' &&
                input.charAt(2) == 't' &&
                input.charAt(3) == 'p') {
                char ch4 = input.charAt(4);
                if (ch4 == ':') {
                    if (input.charAt(5) == '/' &&
                        input.charAt(6) == '/') {

                        return isValidURLChar(input, 7);
                    } else {
                        return false;
                    }
                } else if (ch4 == 's') {
                    if (input.charAt(5) == ':' &&
                        input.charAt(6) == '/' &&
                        input.charAt(7) == '/') {

                        return isValidURLChar(input, 8);
                    } else {
                        return false;
                    }
                } else {
                    return false;
                }
            } else {
                return false;
            }

        } else if (ch0 == 'f') {
            if( input.charAt(1) == 't' &&
                input.charAt(2) == 'p' &&
                input.charAt(3) == ':' &&
                input.charAt(4) == '/' &&
                input.charAt(5) == '/') {

                return isValidURLChar(input, 6);
            } else {
                return false;
            }
        }
        return false;
    }

    static boolean isValidURLChar(String url, int start) {
        for (int i = start, c = url.length(); i < c; i ++) {
            char ch = url.charAt(i);
            if (ch == '"' || ch == '\'') {
                return false;
            }
        }
        return true;
    }

}

方法2、过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出

可以利用下面这些函数对出现xss漏洞的参数进行过滤

1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。

2、htmlentities() 函数,用于转义处理在页面上显示的文本。

3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。

4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。

5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。

6、intval() 函数用于处理数值型参数输出页面中。

7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。

各语言示例:

  PHP的htmlentities()或是htmlspecialchars()。
   Python的cgi.escape()。
   ASP的Server.HTMLEncode()。
   ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
   Java的xssprotect(Open Source Library)。
   Node.js的node-validator。
futureXgm
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss攻击类型与防止xss攻击解决方案
08-05
NULL 博文链接:https://unionhu.iteye.com/blog/1952581
最新的黑客技术:详解XSS脚本攻击
专栏
05-16 1024
一、什么是XSS攻击  XSS又叫CSS  (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希
2024年网络安全-脚本攻击(XSS)的原理、攻击防御_xss攻击(3),2024年最新为了跳槽强刷1000道网络安全真题
最新发布
2401_84253089的博客
05-11 378
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~因篇幅有限,仅展示部分资料。还有大家最喜欢的黑客技术。
XSS攻击解决方案
weixin_34240520的博客
01-20 408
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS脚本攻击原理
Q1n6
10-14 4292
XSS 攻击,全称是“站点脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading StyleSheets,CSS)区别开,以免混淆。XSS 是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。这些代码包括HTML代码和客户端脚本。对于脚本攻击,黑客界共识是:脚本攻击
脚本攻击(XSS)几种解决方案浅析
热门推荐
零度的博客专栏
08-04 1万+
一、概述        Cross-site scripting(CSS or XSS)脚本不像其他攻击只包含两个部分:攻击者和web站点,脚本包含三个部分:攻击者,客户和web站点。脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。   二、XSS攻击原理 一个get请求: GET /welcome.cgi?name=Joe%20Hacker
XSS脚本攻击在Java开发中防范的方法
01-09
XSS脚本攻击在Java开发中防范的方法
XSS 脚本攻击防御解决方案
03-26
XSS 脚本攻击防御解决方案 脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将脚本攻击缩写为XSS。
XSS脚本攻击漏洞修复方法
06-18
XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将深入探讨XSS攻击的类型、危害,并...
站点脚本编制问题解决
06-12
站点脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全问题,它发生在攻击者能够在用户浏览器中注入恶意脚本时。这些脚本可以伪装成受信任的网站,从而窃取用户的敏感信息,如登录凭据或执行其他恶意...
XSS脚本攻击防御
MzHeader的博客
03-03 9251
XSS脚本攻击防御 1.什么是 XSS ? XSS (Cross Site Scripting),即脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话:*所有的输入都是有害的...
WEB脚本攻击
04-18
B/S时代到来,web的安全变得越来越重要!
脚本攻击和防范
07-29
XSS脚本攻击和防范
什么是攻击
ellis2008的专栏
03-11 1666
<br />攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。<br />业界对攻击的定义如下:“攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。”由于HTML语言允许使用脚本进行简单交互,
xss攻击网站脚本攻击
weixin_42937036的博客
11-23 243
出现原因:恶意代码没有经过过滤,和合法代码混合在一起,浏览器无法识别那些是恶意代码,导致恶意代码被执行。 解决方式: 前端对输入进行过滤。输入侧对于明确的输入类型,比如数字,url,电话号码,邮箱,身份证等进行判断是否符合。 后端使用模版引擎(doT.js、ejs等)进行转译HTML。也就是将&<>"’/几个字符转译掉。 限制输入的长度。 响应头设置cookie为HTTPOnly。大多数xss攻击都是通过脚本来盗取cookie,可设置HTTPOnly属性,禁止JavaScript读取c
XSS脚本攻击读书笔记
ouap0909629的专栏
03-02 1681
XSS脚本攻击原理你懂吗??
XSS(脚本攻击)漏洞解决方案
xulong5000的专栏
10-21 909
首先,简单介绍一下XSS定义: 一 、 XSS介绍 XSS是脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。 二、...
Web安全--XSS(脚本攻击)
bobo_milk的博客
11-14 812
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户端获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
百度内部通用XSS攻击解决方案探讨培训ppt 随着互联网的快速发展和普及,网络安全问题日益突出。由于网站和应用程序的设计漏洞,XSS(Cross-Site Scripting)攻击成为一种常见的网络安全威胁。为了应对XSS攻击,百度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值