防止XSS攻击

最新推荐文章于 2021-05-22 13:49:20 发布
最新推荐文章于 2021-05-22 13:49:20 发布
阅读量137 收藏
点赞数
分类专栏: 杂事 文章标签: 脚本 HTML
XSS是一种脚本攻击,利用的是一些网站的漏洞,主要是对输入和输出不进行脚本过滤所造成的,具体可以去搜索一下。

针对这种攻击有比较简单的解决办法:过滤html脚本。

这里有个参考函数: 


public static final String [] DISABLE_SCRIPT=new String[]{"%3C","%3c","%3E","%3e","<",">"};
public static boolean existDisableScript(String s){
  if(StringUtils.isNotEmpty(s)){
    for(int i=0;i<DISABLE_SCRIPT.length;i++){
      if(StringUtils.contains(s, DISABLE_SCRIPT[i])){
        return true;
      }
    }	
  }
  return false;
}


这个方法很简单,把"<"">"检查一遍,返回一个是否存在禁用的布尔值。只要仔细地检查输出和输入就可以避免这个问题,主要还是在应用中多进行这方面的测试就可以很好地避免。

另外还要注意,尽量不要在数据库内保存可疑数据,如果一定要保存富文本,则可以仿照BB code的方式换一种脚本,这其实在论坛中是很普遍的做法。毕竟HTML是相当危险的。

没办法java的只能放到杂事去了。
iteye_3062
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3037
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
什么XSS攻击?PHP防止XSS攻击函数
小白菜的专栏
03-22 699
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现! 看看常见的恶意字符XSS 输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框: 2.XSS 输入也可能是 HTML 代码段,譬如: (1).网页不停地刷新 (2).嵌入其它网站的链接 防止XSS攻击测试路径:   其实
防止xss攻击的方式
book_1992的专栏
12-01 611
1.原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 2.过滤的思想:将输入内容中的script标签js代码过滤掉。 特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。 通常使用htmlpurifier插件进行过滤 说明:htmlpurifier插件,会过滤掉scr.
php特定攻击,PHP过滤XSS攻击的函数
weixin_42469546的博客
03-25 170
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。// note that you have to handle splits with, , and later since they *are* allowed in some i...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不会被浏览器解释为HTML代码。 要...
防止XSS攻击xssProtect
01-09
防止XSS攻击是保护Web应用安全的重要环节。 在Java开发环境中,有多种方法可以防御XSS攻击,其中一个就是使用开源库。在这个压缩包中包含的三个jar文件,都是与防止XSS攻击相关的: 1. antlr-3.0.1.jar:ANTLR...
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
xss攻击怎么防止
weixin_30674525的博客
08-13 61
XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击,是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie信息、破坏页...
预防XSS,这几招管用
万事俱备,就差一个程序员了
05-22 157
原文地址:https://www.cnblogs.com/FraserYu/p/11110900.html 大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很少触碰这个话题。希望大家看过这篇文章之后能将问题重视起来,并有自己的解决方案, 目前XSS攻击问题依旧很严峻: Cross-site scripting(XSS)是...
xss攻击总结
hw1287789687的专栏
07-15 1544
xss攻击总结 原则用户输入什么,数据库就存储什么. 在前端显示时,需要escape.html标签的title属性也需要escape看一个title属性未escape得例子: html代码: 所以html标签的title属性也需要escape. 但是,如果使用jQuery的attr方法设置title,则不需要escape:setPreviewOrgFullName:function
[前端]防止xss攻击的最简单方法
热门推荐
jsh0123的博客
04-11 2万+
xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。(解释摘自百度百科) 1、将能被转换为html的输入内容
xss攻击类型与防止xss攻击解决方案
unionhu的博客
10-07 595
1.输出在HTML页面 例如:有个test.php文件 用http://localhost/test.php?name=lakealert(123456) 进行访问,用这样的URL将会执行JavaScript的alert函数弹出一个对话框 传入的参数值直接显示在页面,主要就是传入的参数中带有“”符号会被浏览器解析, 2.输出在HTML属性中 例如: 用http://loca...
php防止xss攻击的方法
come_on_air的专栏
01-11 4636
其实就是过滤从表单提交来的数据,使用php过滤函数就可以达到很好的目的。 [php] view plaincopy if (isset($_POST['name'])){       $str = trim($_POST['name']);  //清理空格       $str = strip_tags($str);   //过滤html标签  
XSS攻击游戏通关
怡帆的博客
06-12 648
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。在本文,根据代码分析及payload构造,实现XSS注入练习
jersey如何防止xss攻击
最新发布
05-26
Jersey 是一种用于构建 RESTful Web 服务的框架,其本身并没有提供直接的防止 XSS 攻击的功能。不过,我们可以通过一些方法来增强我们的服务,以防止 XSS 攻击。 以下是一些可以采取的措施: 1. 输入验证和过滤:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值