xss 攻击解决方法

最新推荐文章于 2024-09-07 20:58:17 发布
最新推荐文章于 2024-09-07 20:58:17 发布
阅读量499 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanlt/article/details/103380916
版权

反射型:
游览器中输入:http://192.168.0.1:8888/load?pState=0&nStat=0&depart=0000</script><script>alert(1)</script>edd=&de_el=1,会出现弹框。
解决方式:
方式1.在nodeserver 中的 app.js里面添加如下:
    var xss = require('xss-clean');

    app.use(xss());  //这个比较好用

    或者:

    const xssFilter = require("x-xss-protection");
    app.use(xssFilter()); //这个不太管用

    上面两种都需要安装 npm install

方式2.如何用到nginx

    在nginx.conf中的 server {}里面添加如下:
        #防XSS攻击
        #add_header X-Xss-Protection 0;                                --可以不加
        #add_header X-Frame-Options 'SAMEORIGIN';         --可以不加
        #add_header X-XSS-Protection '1; mode=block';        --可以不加
        #add_header X-Content-Type-Options nosniff;            --可以不加
        set $block_xss 0;
        if ($query_string ~ "base64_(en|de)code(.*)")
        { set $block_xss 1; }
        if ($request_uri ~ "base64_(en|de)code(.*)") { set $block_xss 1; }
        if ($query_string ~ "(<|%3C)*.script.*(/?>|%3E)")
        { set $block_xss 1; }
        if ($request_uri ~ "(<|%3C)*.script.*(/?>|%3E)") { set $block_xss 1; }
        if ($query_string ~ "(<|%3C)*.iframe.*(/?>|%3E)")
        { set $block_xss 1; }
        if ($request_uri ~ "(<|%3C)*.iframe.*(/?>|%3E)") { set $block_xss 1; }
        if ($query_string ~ "GLOBALS(=|[|%[0-9A-Z]
        {0,2})")
        { set $block_xss 1; }
        if ($query_string ~ "_REQUEST(=|[|%[0-9A-Z]{0,2}
        )")
        { set $block_xss 1; }
        if ($block_xss = 1)
        { return 403; } 

方式3:在ejs模板文件中

如果是如下 <%- params %> 格式
var nid = JSON.parse(JSON.stringify(<%- nid %>));
var depId = JSON.parse(JSON.stringify(<%- depId %>));

改写成  <%= params %>格式

var nid = JSON.parse(JSON.stringify(<%= nid %>));

var depId = JSON.parse(JSON.stringify(<%= depId %>));

乳酸君'
关注
XSS攻击解决方法
weixin_33877092的博客
02-28 836
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击解决办法说完整,而XSS攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Web安全之XSS跨站脚本攻击:如何预防及解决
最新发布
J老熊
09-07 1631
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击
XSS攻击解决方法
心灵净土
11-01 1437
<br />跨站攻击,怎么解决呢?当然是特殊字符过滤了,常用的有两种方式:<br /> <br />1、自写函数过滤特殊字符:<br /> <br /> public static string XssReplace(string source) { source = source.Replace("<", ""); source = source.Replace(">", ""); source = sour
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1249
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
xss攻击解决方法
qq_43583597的博客
07-27 583
xss攻击解决方法XSS攻击介绍思路代码 XSS攻击介绍 XSS攻击的全称是跨站脚本攻击,听着贼牛皮的样子不过确实很烦人。它是Web应用程序中最常见到的攻击手段之一。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
XSS攻击解决方法
一笔浓墨画佳人的博客
03-16 6094
XSS攻击及防止
XSS攻击 XSS攻击解决方法
李澎昆的博客
11-20 1671
  XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用 户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。 1. XSS 输 入 通 常 包 含 JavaSc...
关于XSS 攻击解决办法!
meuhin_kop的专栏
09-19 355
快到国庆了而且今年又是60周年,各个政府网站也都开始对网站的安全、漏洞进行大规模的扫描,很不幸我们公司开发的一个政府网站被扫描出来存在SQL注入、XSS、CSRF等漏洞!网站是几年前采用PHP开发的,由于开发人员本身的安全意识不足,代码编写上不严谨,滥用$_REQUEST类变量等导致网站存在了很多的安全隐患。最近一直都在研究XSS攻击如何防范,由于研究的时间不长简单的总结了下防御办法。 如下表单...
关于xss攻击解决方案
susanliy的博客
01-11 2996
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
解决XSS攻击常用方法
liuerchong的博客
07-24 3057
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 解决方式一:强制修改html敏感标签内容 /** * xss特殊字符拦截与过滤 * */ public class
XSS攻击解决方案
冰夜翎博客
11-03 1900
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
xss漏洞
A_Alger的博客
09-04 352
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
XSS攻击分类及解决办法
wanglun_的博客
05-11 637
DOM型XSS攻击者将恶意脚本代码注入到网页的DOM节点中,当用户打开含有恶意脚本代码的网页时,恶意脚本代码会被浏览器执行,攻击者可以通过该脚本进行攻击。存储型XSS攻击者将恶意脚本代码注入到网站的数据库中,当用户访问含有恶意脚本代码的页面时,被注入的恶意脚本代码会被执行,从而达到攻击者的目的。反射型XSS攻击者将恶意脚本代码注入到URL或者表单中,当用户访问该URL或提交表单时,恶意脚本代码被执行,利用浏览器漏洞进行攻击
xss攻击原理与解决方法
06-03
XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本,从而能够窃取...以上就是XSS攻击的原理和解决方法,我们应该在开发和运维中加强对XSS攻击的防范,保护用户的信息安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值