防xss攻击总结

最新推荐文章于 2024-05-14 18:45:00 发布
最新推荐文章于 2024-05-14 18:45:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: javascrpit xss 文章标签: xss攻击 escape
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hw1287789687/article/details/51917995
版权

防xss攻击总结

原则

用户输入什么,数据库就存储什么.
在前端显示时,需要escape.

html标签的title属性也需要escape

看一个title属性未escape得例子:
双引号后面被截断
html代码:
title没有escape
所以html标签的title属性也需要escape.
但是,如果使用jQuery的attr方法设置title,则不需要escape:

setPreviewOrgFullName:function (orgFullName) {
            if(orgFullName){
                //去掉空格
                orgFullName=Cjt.util.Format.trim(orgFullName);
            }
            var orgCutOffName = Util.omitTooLongString(orgFullName, this.config.truncationLength);
            $('#preview_orgFullName').html(Cjt.escape(orgCutOffName)).attr('title', orgFullName);
        }

注意:如果使用jQuery设置title,则不需要escape,
否则需要对title进行escape
如果能够保证title没有双引号,则不管哪种情况,都不需要escape.

jstl escape

 title="<c:out value="${bbs.answer}" default="" escapeXml="true"/>"

需要引入jstl的标签库:

<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>

如何实现企业名称超过14字符就截断

步骤:先截断,再escape
为什么呢?
如果先escape,那么字符串的长度就与原来不一致
js版本:

var orgFullNameTmp = Util.omitTooLongString(orgName, me.config.truncationLength);
                            $('ul.company-name').prepend(me.createOrgDom({
                                orgId: resp.orgId,
                                orgFullName: Cjt.escape(orgFullNameTmp),
                                orgFullNameTitle: Cjt.escape(orgName)
                            }));

freeMark:

<#if item.orgName=="">未命名企业                                                   <#else>                                                <#escape x as x?html>
                                                            <#if item.orgName?length lt 15   >
                                                                ${item.orgName}
                                                                <#else>
   ${item.orgName[0..13]}...
    </#if>                                                  </#escape>
                                                </#if>

title escape:

 title="<#escape x as x?html>${item.orgName}</#escape>"

jQuery中html,text方法

text 可以自动escape,所以不用手动escape,
text根据字面意思,就是不按照html解析,而是仅仅当做普通文本.
html()需要escape,因为html方法就是按照html来解析的.

$('#agentNameP').html(xssTitle12).attr('title', agentFullName);
            $('#preview_agentName').text(truncatTitle).attr('title', agentFullName);//预览的服务商
调皮的芋头
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jQuery最新xss漏洞浅析、复现、修复
qq_29365787的博客
06-08 1万+
jQuery最新xss漏洞浅析、复现、修复 1、xss漏洞的形成和危害 形成:xss漏洞也叫跨站点脚本编制,形成的原因简单说就是 应用程序未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。 在以下情况下会发生跨站点脚本编制 (XSS) 脆弱性: [1] 不可信数据进入 Web 应用程序,通常来自 Web 请求。 [2] Web 应用程序动态生成了包含此不可信数据的 Web 页面。 [3] 页面生成期间,应用程序不会禁止数据包含可由 Web 浏览器执
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
前端安全系列(一):如何XSS攻击
最新发布
qkh1234567的博客
05-14 1605
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
关于jsXSS攻击
Run the ant
12-29 2869
记一下,转义!!!!!!!!!!!!!!!!!!!! 将内容转义成普通字符串 function htmlEncodeJQ ( str ) {     return $('').text( str ).html(); } 将内容重新赋予dom特性 function htmlDecodeJQ ( str ) { return $('').html( str ).t
xss攻击
qi_SJQ_的博客
08-18 294
A.PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.RemoveXss函数 B.PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤: 1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容 2.必须要用innerHTML等等函数,则需要做类似php的htmlspe.
XSS 攻击 ----XSS 攻击
留着鼻涕敲代码
12-13 493
什么是XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击
XSS攻击解决办法
01-20
XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
Web安全之XSS攻击御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
php_XSS攻击插件
05-29
总结,PHP的XSS护是一个重要的安全措施,通过使用如HTMLPurifier这样的库,我们可以有效地避免XSS攻击,保护用户的浏览器不受恶意脚本的侵害。正确理解和应用这些工具,是构建安全Web应用程序的关键步骤。
XSS攻击进阶篇.zip
09-27
**总结来说,XSS攻击是一种利用Web应用漏洞的攻击方式,通过注入恶意脚本影响用户浏览器,可能导致各种安全问题。了解其原理和御措施是网络安全中的重要一环,对于开发者和安全研究人员来说,持续学习和掌握XSS...
xss网络攻击.zip
08-12
XSS(Cross-Site Scripting)攻击是一种常见的网络...总结来说,XSS攻击是Web安全领域的一大威胁,需要开发者和用户共同警惕。通过理解和实施有效的御策略,我们可以大大降低XSS攻击带来的风险,保护用户的数据安全。
ajax全局xss,Jquery封装Ajax过滤XSS
weixin_39771351的博客
08-05 544
$(document).ajaxSend(onSend);function onSend(e,xhr,o) {o.data=dataEncode(o.data);};function htmlEncode (str){var s = "";if (str.length == 0) return "";//s = str.replace(/ /g, "");//s = str.replace(/&...
XSS攻击
weixin_45221091的博客
04-21 1622
前端安全系列之XSS攻击范 1、使用textContent 2、使用HTML转义 把JS中的标签转成字符 3、对于链接跳转 禁止含有’javascript:'开头的字符 4、标签属性中含有恶意执行代码 javascript 5、如果用户输入的文本进行过滤很容易照成注入漏洞 6、什么是XSS攻击 Cross-Site Scripting(跨站脚本攻击) 为和CSS区分所以叫XSS攻击 7、XSS攻击的本质 而已代码未经过滤,混入正常代码中,浏览器无法分辨,导致恶意代码被执行; 8、在处理输入时,
java XSS 攻击的常用方法总结
weixin_33913377的博客
08-11 90
2019独角兽企业重金招聘Python工程师标准>>> ...
表单提交xss攻击
qq_40194668的博客
02-25 528
使用HTMLPurifier过滤器过滤表单提交数据之后再进行数据插入数据表 1、定义过滤数据方法 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 require_once './vendor/purifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::
jQuery.append()、jQuery.html()存在的XSS漏洞
weixin_30245867的博客
02-28 1227
使用jQuery.append()、jQuery.html()方法时,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。 简单的示例代码如下: 1 var xssStr = '<script>console.log(1)</script>'; 2 $('#test').html(xssStr); 控制台会打印出“1...
【转】XSS攻击
05-08 153
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它...
解析如何XSS跨站脚本攻击
buptisc_txy的专栏
01-01 942
本文为大家提供了简单的实战模式以XSS跨站脚本攻击通过output escaping/encoding发动攻击。虽然存在大量跨站脚本攻击者,不过只要遵守本文提供的几个规则就能有效抵御XSS跨站脚本攻击。  这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS
DOM XSS利用 原理
zgy956645239的博客
03-30 453
原理就是 通过复选框的接口 篡改参数来构造恶意请求 比如复选框原始请求是这个 http://www.baid.com?id=TRUE 但是黑客构造后 http://www.baid.com?id=TRUE<script>getPassword</script> 然后黑客通过某种钓鱼的方式 发给受害者, 受害者点击后,浏览器 就会通过$("head").append(XXX) 方法解析参数,然后执行参数中的<script>getPassword</script...
18.XSS跨站脚本攻击原理及代码攻演示(一)1
08-03
7. 总结:最后,作者总结XSS攻击范的重要性和个人学习网络安全的心得,鼓励读者一同探索和提升网络安全技能,同时提醒读者尊重他人劳动成果,理性对待技术。 通过阅读这篇博客,读者可以深入理解XSS攻击的原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值